本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的安全控制
<a name="controls-view-manage"></a>

在 AWS Security Hub CSPM 中，*安全控制*也稱為*控制項*，是一種安全標準中的保護措施，可協助組織保護資訊的機密性、完整性和可用性。在 Security Hub CSPM 中，控制項與特定 AWS 資源相關。

當您在一或多個標準中啟用控制項時，Security Hub CSPM 會開始對其執行安全檢查。安全檢查會產生 Security Hub CSPM 調查結果。當您停用控制項時，Security Hub CSPM 會停止對其執行安全檢查，而且不會再產生問題清單。

您可以個別啟用或停用單一帳戶和 的控制項 AWS 區域。為了節省時間並減少多帳戶環境中的組態偏離，我們建議您使用[中央組態](central-configuration-intro.md)來啟用或停用控制項。透過中央組態，委派的 Security Hub CSPM 管理員可以建立政策，指定如何在多個帳戶和區域中設定控制項。如需啟用和停用控制項的詳細資訊，請參閱 [在 Security Hub CSPM 中啟用控制項](securityhub-standards-enable-disable-controls.md)。

## 合併控制項檢視
<a name="consolidated-controls-view"></a>

Security Hub CSPM 主控台的**控制項**頁面會顯示目前 中可用的所有控制項 AWS 區域 （您可以透過造訪**安全標準**頁面並選擇啟用的標準，在標準內容中檢視控制項）。Security Hub CSPM 指派控制跨標準一致的安全控制 ID、標題和描述。控制項 IDs包括相關 AWS 服務 和唯一數字 （例如 CodeBuild.3).

下列資訊可在 [Security Hub CSPM 主控台](https://console.aws.amazon.com/securityhub/)的**控制**頁面上取得：
+ 整體安全分數，根據傳遞控制項與具有資料之已啟用控制項總數的比例
+ 所有支援的 Security Hub CSPM 控制項的控制狀態明細
+ 通過和失敗的安全檢查總數。
+ 針對不同嚴重性控制項的失敗安全檢查數量，以及檢視這些失敗檢查詳細資訊的連結。
+ Security Hub CSPM 控制項的清單，其中包含可檢視特定控制項子集的篩選條件。

在**控制項**頁面中，您可以選擇控制項以檢視其詳細資訊，並對控制項產生的調查結果採取動作。在此頁面上，您也可以在目前的 AWS 帳戶 和 中啟用或停用安全控制 AWS 區域。**控制**頁面的啟用和停用動作會跨標準套用。如需詳細資訊，請參閱[在 Security Hub CSPM 中啟用控制項](securityhub-standards-enable-disable-controls.md)。

對於管理員帳戶，**控制項**頁面會反映成員帳戶之間的控制項狀態。如果至少一個成員帳戶中的控制項檢查失敗，則控制項狀態為**失敗**。如果您已設定[彙總區域](finding-aggregation.md)，則**控制項**頁面會反映所有連結區域的控制項狀態。如果至少一個連結區域中的控制項檢查失敗，則控制項狀態為**失敗**。

合併控制項檢視會導致變更，以控制 AWS 安全性調查結果格式 (ASFF) 中可能影響工作流程的調查結果欄位。如需詳細資訊，請參閱[合併控制項檢視 – ASFF 變更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view)。

## 控制項的摘要安全分數
<a name="controls-overall-score"></a>

**控制**頁面會顯示 0-100% 的摘要安全分數。摘要安全分數是根據通過的控制項與具有跨標準資料的已啟用控制項總數的比例來計算。

**注意**  
 若要檢視控制項的整體安全分數，您必須新增許可，以**`BatchGetControlEvaluations`**呼叫您用來存取 Security Hub CSPM 的 IAM 角色。檢視特定標準的安全性分數不需要此許可。

當您啟用 Security Hub CSPM 時，Security Hub CSPM 會在您第一次造訪 Security Hub CSPM 主控台的**摘要**頁面或**安全標準**頁面後 30 分鐘內計算初始安全分數。在中國區域和 中，首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Regions。

除了整體安全分數之外，Security Hub CSPM 還會在您第一次造訪**摘要**頁面或安全標準頁面後 30 分鐘內計算每個已啟用標準的標準**安全**分數。若要檢視目前啟用的標準清單，請使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) API 操作。

AWS Config 必須啟用資源記錄，才能顯示分數。如需 Security Hub CSPM 如何計算安全分數的資訊，請參閱 [計算安全分數](standards-security-score.md)。

第一次產生分數後，Security Hub CSPM 會每 24 小時更新一次安全分數。Security Hub CSPM 會顯示時間戳記，指出上次更新安全分數的時間。

如果您已設定彙總區域，則整體安全分數會反映連結區域之間的控制問題清單。

# Security Hub CSPM 的控制項參考
<a name="securityhub-controls-reference"></a>

此控制項參考提供可用的 AWS Security Hub CSPM 控制項資料表，其中包含每個控制項的詳細資訊連結。在表格中，控制項會依控制項 ID 的字母順序列出。這裡僅包含 Security Hub CSPM 作用中使用的控制項。已淘汰的控制項會從資料表中排除。

資料表提供每個控制項的下列資訊：
+ **安全控制 ID** – 此 ID 適用於所有標準，並指出控制項相關的 AWS 服務 和資源。Security Hub CSPM 主控台會顯示安全控制 IDs，無論您的帳戶中是否開啟或關閉[合併控制問題](controls-findings-create-update.md#consolidated-control-findings)清單。不過，只有在您的帳戶中開啟合併控制調查結果時，Security Hub CSPM 調查結果才會參考安全控制 IDs。如果您的帳戶中關閉了合併控制調查結果，則某些控制 IDs會因控制調查結果中的標準而有所不同。如需標準特定控制 IDs與安全控制 IDs的映射，請參閱 [合併如何影響控制 IDs和標題](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)。

  如果您想要為安全控制設定[自動化](automations.md)，建議您根據控制 ID 而非標題或描述進行篩選。雖然 Security Hub CSPM 可能會偶爾更新控制項標題或描述，但控制項 IDs會保持不變。

  控制項 IDs可能會略過數字。這些是未來控制項的預留位置。
+ **安全控制標題** – 此標題適用於所有標準。Security Hub CSPM 主控台會顯示安全控制標題，無論您的帳戶中是否開啟或關閉合併控制問題清單。不過，只有在您的帳戶中開啟合併控制調查結果時，Security Hub CSPM 調查結果才會參考安全控制標題。如果您的帳戶中關閉了合併控制調查結果，則某些控制標題會因控制調查結果中的標準而有所不同。如需標準特定控制 IDs與安全控制 IDs的映射，請參閱 [合併如何影響控制 IDs和標題](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles)。
+ **適用標準** – 指出適用於控制項的標準。選擇控制項，以檢閱第三方合規架構的特定需求。
+ **嚴重性** – 控制項的嚴重性從安全角度識別其重要性。如需 Security Hub CSPM 如何判斷控制嚴重性的資訊，請參閱 [控制問題清單的嚴重性等級](controls-findings-create-update.md#control-findings-severity)。
+ **支援自訂參數** – 指出控制項是否支援一或多個參數的自訂值。選擇控制項以檢閱參數詳細資訊。如需詳細資訊，請參閱[了解 Security Hub CSPM 中的控制參數](custom-control-parameters.md)。
+ **排程類型** – 指出何時評估控制項。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

選擇控制項以檢閱其他詳細資訊。控制項會依安全控制項 ID 的字母順序列出。


| 安全控制 ID | 安全控制標題 | 適用標準 | 嚴重性 | 支援自訂參數 | 排程類型 | 
| --- | --- | --- | --- | --- | --- | 
| [Account.1](account-controls.md#account-1)  | 應提供 的安全聯絡資訊 AWS 帳戶  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  | 中型  | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  | 定期  | 
|  [帳戶。2](account-controls.md#account-2)  |  AWS 帳戶 應該是 AWS Organizations 組織的一部分  |  NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ACM.1](acm-controls.md#acm-1)  |  匯入和 ACM 發行的憑證應在指定的期間之後續約  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS v4.0.1 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發和定期  | 
|  [ACM.2](acm-controls.md#acm-2)  |  ACM 管理的 RSA 憑證應使用至少 2，048 位元的金鑰長度  | AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ACM.3](acm-controls.md#acm-3)  | ACM 憑證應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Amplify.1](amplify-controls.md#amplify-1)  | Amplify 應用程式應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Amplify.2](amplify-controls.md#amplify-2)  | Amplify 分支應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [APIGateway.1](apigateway-controls.md#apigateway-1)  |  應啟用 API Gateway REST 和 WebSocket API 執行記錄  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [APIGateway.2](apigateway-controls.md#apigateway-2)  |  API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [APIGateway.3](apigateway-controls.md#apigateway-3)  |  API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [APIGateway.4](apigateway-controls.md#apigateway-4)  |  API Gateway 應與 WAF Web ACL 建立關聯  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [APIGateway.5](apigateway-controls.md#apigateway-5)  |  API Gateway REST API 快取資料應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [APIGateway.8](apigateway-controls.md#apigateway-8)  |  API Gateway 路由應指定授權類型  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [APIGateway.9](apigateway-controls.md#apigateway-9)  |  應該為 API Gateway V2 階段設定存取記錄  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [APIGateway.10](apigateway-controls.md#apigateway-10)  |  API Gateway V2 整合應使用 HTTPS 進行私有連線  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [AppConfig.1](appconfig-controls.md#appconfig-1)  | AWS AppConfig 應用程式應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppConfig.2](appconfig-controls.md#appconfig-2)  | AWS AppConfig 組態設定檔應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppConfig.3](appconfig-controls.md#appconfig-3)  | AWS AppConfig 環境應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppConfig.4](appconfig-controls.md#appconfig-4)  | AWS AppConfig 延伸關聯應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppFlow.1](appflow-controls.md#appflow-1)  | Amazon AppFlow 流程應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppRunner.1](apprunner-controls.md#apprunner-1)  | App Runner 服務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppRunner.2](apprunner-controls.md#apprunner-2)  | 應標記 App Runner VPC 連接器 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppSync.2](appsync-controls.md#appsync-2)  |  AWS AppSync 應該啟用欄位層級記錄  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 4.0.1 版 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [AppSync.4](appsync-controls.md#appsync-4)  | AWS AppSync GraphQL APIs 應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [AppSync.5](appsync-controls.md#appsync-5)  |  AWS AppSync GraphQL APIs 不應使用 API 金鑰進行身分驗證  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Athena.2](athena-controls.md#athena-2)  | Athena 資料目錄應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Athena.3](athena-controls.md#athena-3)  | Athena 工作群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Athena.4](athena-controls.md#athena-4)  | Athena 工作群組應該已啟用記錄 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [AutoScaling.1](autoscaling-controls.md#autoscaling-1)  | 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查 | AWS 基礎安全最佳實務，PCI DSS 3.2.1 版，NIST SP 800-53 修訂版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [AutoScaling.2](autoscaling-controls.md#autoscaling-2)  |  Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [AutoScaling.3](autoscaling-controls.md#autoscaling-3)  |  Auto Scaling 群組啟動組態應該將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Autoscaling.5](autoscaling-controls.md#autoscaling-5)  |  使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [AutoScaling.6](autoscaling-controls.md#autoscaling-6)  |  Auto Scaling 群組應在多個可用區域中使用多個執行個體類型  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [AutoScaling.9](autoscaling-controls.md#autoscaling-9)  |  EC2 Auto Scaling 群組應使用 EC2 啟動範本  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [AutoScaling.10](autoscaling-controls.md#autoscaling-10)  | 應標記 EC2 Auto Scaling 群組 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [備份。1](backup-controls.md#backup-1)  |  AWS Backup 復原點應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [備份。2](backup-controls.md#backup-2)  | AWS Backup 復原點應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [備份。3](backup-controls.md#backup-3)  | AWS Backup 保存庫應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [備份。4](backup-controls.md#backup-4)  | AWS Backup 報告計畫應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [備份。5](backup-controls.md#backup-5)  | AWS Backup 備份計畫應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Batch.1](batch-controls.md#batch-1)  | 批次任務佇列應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Batch.2](batch-controls.md#batch-2)  | 批次排程政策應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Batch.3](batch-controls.md#batch-3)  | 批次運算環境應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Batch.4](batch-controls.md#batch-4)  | 受管批次運算環境中的運算資源屬性應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [CloudFormation.2](cloudformation-controls.md#cloudformation-2)  | CloudFormation 堆疊應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [CloudFormation.3](cloudformation-controls.md#cloudformation-3)  | CloudFormation 堆疊應該啟用終止保護 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CloudFormation.4](cloudformation-controls.md#cloudformation-4)  | CloudFormation 堆疊應該具有相關聯的服務角色 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CloudFront.1](cloudfront-controls.md#cloudfront-1)  | CloudFront 分佈應該設定預設根物件 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CloudFront.3](cloudfront-controls.md#cloudfront-3)  |  CloudFront 分佈應該需要傳輸中加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.4](cloudfront-controls.md#cloudfront-4)  |  CloudFront 分佈應設定原始伺服器容錯移轉  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.5](cloudfront-controls.md#cloudfront-5)  |  CloudFront 分佈應該已啟用記錄  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.6](cloudfront-controls.md#cloudfront-6)  |  CloudFront 分佈應該啟用 WAF  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.7](cloudfront-controls.md#cloudfront-7)  |  CloudFront 分佈應使用自訂 SSL/TLS 憑證  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  | 低 |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.8](cloudfront-controls.md#cloudfront-8)  |  CloudFront 分佈應使用 SNI 來提供 HTTPS 請求  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.9](cloudfront-controls.md#cloudfront-9)  |  CloudFront 分佈應該加密到自訂原始伺服器的流量  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.10](cloudfront-controls.md#cloudfront-10)  |  CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.12](cloudfront-controls.md#cloudfront-12)  |  CloudFront 分佈不應指向不存在的 S3 原始伺服器  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudFront.13](cloudfront-controls.md#cloudfront-13)  |  CloudFront 分佈應使用原始存取控制  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CloudFront.14](cloudfront-controls.md#cloudfront-14)  | 應標記 CloudFront 分佈 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [CloudFront.15](cloudfront-controls.md#cloudfront-15)  | CloudFront 分佈應使用建議的 TLS 安全政策 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CloudFront.16](cloudfront-controls.md#cloudfront-16)  | CloudFront 分佈應使用 Lambda 函數 URL 原始伺服器的原始存取控制 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CloudFront.17](cloudfront-controls.md#cloudfront-17)  | CloudFront 分佈應針對已簽章URLs 和 Cookie 使用信任的金鑰群組 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CloudTrail.1](cloudtrail-controls.md#cloudtrail-1)  | CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域線索 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2)  |  CloudTrail 應該啟用靜態加密  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0 AWS Foundations 安全最佳實務 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3)  | 至少應啟用一個 CloudTrail 追蹤 | NIST SP 800-171 第 2 版，PCI DSS 4.0.1 版，PCI DSS 3.2.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4)  |  應啟用 CloudTrail 日誌檔案驗證  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5)  |  CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合  | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中型 |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6)  |  確保不公開存取用於儲存 CloudTrail 日誌的 S3 儲存貯體  |  CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、PCI DSS v4.0.1 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發和定期  | 
|  [CloudTrail.7](cloudtrail-controls.md#cloudtrail-7)  |  確保 CloudTrail S3 儲存貯體已啟用 S3 儲存貯體存取日誌記錄  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudTrail.9](cloudtrail-controls.md#cloudtrail-9)  | CloudTrail 追蹤應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10)  | CloudTrail Lake 事件資料存放區應使用客戶受管加密 AWS KMS keys | NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [CloudWatch.1](cloudwatch-controls.md#cloudwatch-1)  |  應該存在日誌指標篩選條件和警示，以使用「根」使用者  | CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2)  |  確保未經授權的 API 呼叫中存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.2.0 版，NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3)  |  確保不使用 MFA 的管理主控台登入存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.2.0 版  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4)  |  確保 IAM 政策變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.5](cloudwatch-controls.md#cloudwatch-5)  |  確保 CloudTrail 組態變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6)  |  確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.7](cloudwatch-controls.md#cloudwatch-7)  |  確保停用或排定刪除客戶建立的 CMK 存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.8](cloudwatch-controls.md#cloudwatch-8)  |  確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.9](cloudwatch-controls.md#cloudwatch-9)  |  確保 AWS Config 組態變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10)  |  確保安全群組變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11)  |  確保網路存取控制清單 (NACL) 變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12)  |  確保網路閘道變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13)  |  確保路由表變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14)  |  確保 VPC 變更存在日誌指標篩選條件和警示  | CIS AWS Foundations Benchmark 1.4.0 版、CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 修訂版 2 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15)  |  CloudWatch 警示應已設定指定的動作  | NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2 |  HIGH (高)  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16)  |  CloudWatch 日誌群組應保留一段指定的時間  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17)  |  應啟用 CloudWatch 警示動作  |  NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CodeArtifact.1](codeartifact-controls.md#codeartifact-1)  | CodeArtifact 儲存庫應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [CodeBuild.1](codebuild-controls.md#codebuild-1)  | CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CodeBuild.2](codebuild-controls.md#codebuild-2)  |  CodeBuild 專案環境變數不應包含純文字登入資料  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CodeBuild.3](codebuild-controls.md#codebuild-3)  |  CodeBuild S3 日誌應加密  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版， |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CodeBuild.4](codebuild-controls.md#codebuild-4)  |  CodeBuild 專案環境應具有記錄組態  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [CodeBuild.7](codebuild-controls.md#codebuild-7)  | CodeBuild 報告群組匯出應該靜態加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [CodeGuruProfiler.1](codeguruprofiler-controls.md#codeguruprofiler-1)  | CodeGuru Profiler 分析群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [CodeGuruReviewer.1](codegurureviewer-controls.md#codegurureviewer-1)  | CodeGuru Reviewer 儲存庫關聯應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Cognito.1](cognito-controls.md#cognito-1)  | Cognito 使用者集區應以標準身分驗證的完整功能強制執行模式啟用威脅防護 | AWS 基礎安全最佳實務 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Cognito.2](cognito-controls.md#cognito-2)  | Cognito 身分集區不應允許未驗證的身分 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Cognito.3](cognito-controls.md#cognito-3)  | Cognito 使用者集區的密碼政策應具有強大的組態 | AWS 基礎安全最佳實務 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Cognito.4](cognito-controls.md#cognito-4)  | Cognito 使用者集區應使用完整功能強制執行模式啟用威脅防護，以進行自訂身分驗證 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Cognito.5](cognito-controls.md#cognito-5)  | 應為 Cognito 使用者集區啟用 MFA | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Cognito.6](cognito-controls.md#cognito-6)  | Cognito 使用者集區應啟用刪除保護 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Config.1](config-controls.md#config-1)  | AWS Config 應啟用並使用服務連結角色進行資源記錄 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1 | 關鍵 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [Connect.1](connect-controls.md#connect-1)  | Amazon Connect Customer Profiles 物件類型應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Connect.2](connect-controls.md#connect-2)  | Amazon Connect 執行個體應該啟用 CloudWatch 記錄 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [DataFirehose.1](datafirehose-controls.md#datafirehose-1)  | Firehose 交付串流應靜態加密 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [DataSync.1](datasync-controls.md#datasync-1)  | DataSync 任務應該已啟用記錄 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [DataSync.2](datasync-controls.md#datasync-2)  | DataSync 任務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Detective.1](detective-controls.md#detective-1)  | Detective 行為圖表應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [DMS.1](dms-controls.md#dms-1)  |  Database Migration Service 複寫執行個體不應為公有  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [DMS.2](dms-controls.md#dms-2)  | DMS 憑證應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [DMS.3](dms-controls.md#dms-3)  | DMS 事件訂閱應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [DMS.4](dms-controls.md#dms-4)  | DMS 複寫執行個體應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [DMS.5](dms-controls.md#dms-5)  | DMS 複寫子網路群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [DMS.6](dms-controls.md#dms-6)  |  DMS 複寫執行個體應啟用自動次要版本升級  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DMS.7](dms-controls.md#dms-7)  |  目標資料庫的 DMS 複寫任務應該已啟用記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DMS.8](dms-controls.md#dms-8)  |  來源資料庫的 DMS 複寫任務應該已啟用記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DMS.9](dms-controls.md#dms-9)  |  DMS 端點應使用 SSL  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DMS.10](dms-controls.md#dms-10)  | Neptune 資料庫的 DMS 端點應啟用 IAM 授權 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [DMS.11](dms-controls.md#dms-11)  | MongoDB 的 DMS 端點應該啟用身分驗證機制 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [DMS.12](dms-controls.md#dms-12)  | Redis OSS 的 DMS 端點應該已啟用 TLS | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [DMS.13](dms-controls.md#dms-13)  | DMS 複寫執行個體應設定為使用多個可用區域 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [DocumentDB.1](documentdb-controls.md#documentdb-1)  |  Amazon DocumentDB 叢集應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DocumentDB.2](documentdb-controls.md#documentdb-2)  |  Amazon DocumentDB 叢集應具有足夠的備份保留期  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [DocumentDB.3](documentdb-controls.md#documentdb-3)  |  Amazon DocumentDB 手動叢集快照不應公開  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DocumentDB.4](documentdb-controls.md#documentdb-4)  |  Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DocumentDB.5](documentdb-controls.md#documentdb-5)  |  Amazon DocumentDB 叢集應該啟用刪除保護  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DocumentDB.6](documentdb-controls.md#documentdb-6)  | Amazon DocumentDB 叢集應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [DynamoDB.1](dynamodb-controls.md#dynamodb-1)  |  DynamoDB 資料表應隨著需求自動擴展容量  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [DynamoDB.2](dynamodb-controls.md#dynamodb-2)  |  DynamoDB 資料表應該啟用point-in-time復原  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DynamoDB.3](dynamodb-controls.md#dynamodb-3)  |  DynamoDB Accelerator (DAX) 叢集應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [DynamoDB.4](dynamodb-controls.md#dynamodb-4)  |  DynamoDB 資料表應存在於備份計畫中  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [DynamoDB.5](dynamodb-controls.md#dynamodb-5)  | DynamoDB 資料表應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [DynamoDB.6](dynamodb-controls.md#dynamodb-6)  |  DynamoDB 資料表應該已啟用刪除保護  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [DynamoDB.7](dynamodb-controls.md#dynamodb-7)  | DynamoDB Accelerator 叢集應在傳輸中加密 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EC2.1](ec2-controls.md#ec2-1)  |  EBS 快照不應可公開還原  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EC2.2](ec2-controls.md#ec2-2)  |  VPC 預設安全群組不應允許傳入或傳出流量  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.3](ec2-controls.md#ec2-3)  |  連接的 EBS 磁碟區應該靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.4](ec2-controls.md#ec2-4)  |  停止的 EC2 執行個體應該在指定的時段之後移除  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [EC2.6](ec2-controls.md#ec2-6)  |  應在所有 VPC 中啟用 VPCs 流程記錄  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EC2.7](ec2-controls.md#ec2-7)  |  應啟用 EBS 預設加密  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EC2.8](ec2-controls.md#ec2-8)  |  EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.9](ec2-controls.md#ec2-9)  |  EC2 執行個體不應具有公有 IPv4 地址  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.10](ec2-controls.md#ec2-10)  |  Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EC2.12](ec2-controls.md#ec2-12)  |  應該移除未使用的 EC2 EIPs  |  PCI DSS v3.2.1、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.13](ec2-controls.md#ec2-13)  | 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22 | CIS AWS Foundations Benchmark 1.2.0 版、PCI DSS 3.2.1 版、PCI DSS 4.0.1 版、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發和定期 | 
|  [EC2.14](ec2-controls.md#ec2-14)  | 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389 | CIS AWS Foundations Benchmark 1.2.0 版、PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發和定期 | 
|  [EC2.15](ec2-controls.md#ec2-15)  |  EC2 子網路不應自動指派公有 IP 地址  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版， |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.16](ec2-controls.md#ec2-16)  |  應該移除未使用的網路存取控制清單  | AWS 基礎安全最佳實務、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS 4.0.1、 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.17](ec2-controls.md#ec2-17)  |  EC2 執行個體不應使用多個 ENIs  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.18](ec2-controls.md#ec2-18)  |  安全群組應僅允許授權連接埠不受限制的傳入流量  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  HIGH (高)  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [EC2.19](ec2-controls.md#ec2-19)  | 安全群組不應允許無限制存取高風險的連接埠 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發和定期 | 
|  [EC2.20](ec2-controls.md#ec2-20)  |  用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.21](ec2-controls.md#ec2-21)  |  網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.22](ec2-controls.md#ec2-22)  | 應該移除未使用的 EC2 安全群組 |   | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EC2.23](ec2-controls.md#ec2-23)  |  EC2 Transit Gateways 不應自動接受 VPC 連接請求  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.24](ec2-controls.md#ec2-24)  |  不應使用 EC2 全虛擬執行個體類型  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.25](ec2-controls.md#ec2-25)  |  EC2 啟動範本不應將公IPs 指派給網路介面  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.28](ec2-controls.md#ec2-28)  |  EBS 磁碟區應位於備份計畫中  |  NIST SP 800-53 修訂版 5  |  低  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [EC2.33](ec2-controls.md#ec2-33)  | EC2 傳輸閘道附件應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.34](ec2-controls.md#ec2-34)  | EC2 傳輸閘道路由表應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.35](ec2-controls.md#ec2-35)  | EC2 網路介面應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.36](ec2-controls.md#ec2-36)  | EC2 客戶閘道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.37](ec2-controls.md#ec2-37)  | EC2 彈性 IP 地址應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.38](ec2-controls.md#ec2-38)  | 應標記 EC2 執行個體 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.39](ec2-controls.md#ec2-39)  | EC2 網際網路閘道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.40](ec2-controls.md#ec2-40)  | EC2 NAT 閘道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.41](ec2-controls.md#ec2-41)  | EC2 網路 ACLs 應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.42](ec2-controls.md#ec2-42)  | EC2 路由表應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.43](ec2-controls.md#ec2-43)  | EC2 安全群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.44](ec2-controls.md#ec2-44)  | EC2 子網路應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.45](ec2-controls.md#ec2-45)  | EC2 磁碟區應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.46](ec2-controls.md#ec2-46)  | Amazon VPCs應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.47](ec2-controls.md#ec2-47)  | Amazon VPC 端點服務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.48](ec2-controls.md#ec2-48)  | Amazon VPC 流程日誌應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.49](ec2-controls.md#ec2-49)  | Amazon VPC 對等互連連線應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.50](ec2-controls.md#ec2-50)  | EC2 VPN 閘道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.51](ec2-controls.md#ec2-51)  |  EC2 Client VPN 端點應該啟用用戶端連線記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2，PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EC2.52](ec2-controls.md#ec2-52)  | EC2 傳輸閘道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.53](ec2-controls.md#ec2-53)  | EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EC2.54](ec2-controls.md#ec2-54)  | EC2 安全群組不應允許從 ：：/0 傳入遠端伺服器管理連接埠 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EC2.55](ec2-controls.md#ec2-55)  | VPCs應使用 ECR API 的介面端點進行設定 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.56](ec2-controls.md#ec2-56)  | VPCs應使用 Docker 登錄檔的介面端點進行設定 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.57](ec2-controls.md#ec2-57)  | VPCs應使用 Systems Manager 的介面端點進行設定 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.58](ec2-controls.md#ec2-58)  | VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.60](ec2-controls.md#ec2-60)  | VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [EC2.170](ec2-controls.md#ec2-170)  | EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2) | AWS 基礎安全最佳實務，PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EC2.171](ec2-controls.md#ec2-171)  | EC2 VPN 連線應該已啟用記錄 | AWS 基礎安全最佳實務，PCI DSS v4.0.1 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EC2.172](ec2-controls.md#ec2-172)  | EC2 VPC 封鎖公開存取設定應封鎖網際網路閘道流量 | AWS 基礎安全最佳實務 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.173](ec2-controls.md#ec2-173)  | 具有啟動參數的 EC2 Spot Fleet 請求應啟用已連接 EBS 磁碟區的加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EC2.174](ec2-controls.md#ec2-174)  | EC2 DHCP 選項集應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.175](ec2-controls.md#ec2-175)  | EC2 啟動範本應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.176](ec2-controls.md#ec2-176)  | EC2 字首清單應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.177](ec2-controls.md#ec2-177)  | EC2 流量鏡像工作階段應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.178](ec2-controls.md#ec2-178)  | EC2 流量鏡像篩選條件應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.179](ec2-controls.md#ec2-179)  | EC2 流量鏡像目標應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EC2.180](ec2-controls.md#ec2-180)  | EC2 網路介面應啟用來源/目的地檢查 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EC2.181](ec2-controls.md#ec2-181)  | EC2 啟動範本應為連接的 EBS 磁碟區啟用加密 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EC2.182](ec2-controls.md#ec2-182)  | EBS 快照不應公開存取 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ECR.1](ecr-controls.md#ecr-1)  |  ECR 私有儲存庫應設定映像掃描  | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 第 5 版、PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ECR.2](ecr-controls.md#ecr-2)  |  ECR 私有儲存庫應設定標籤不可變性  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECR.3](ecr-controls.md#ecr-3)  |  ECR 儲存庫應至少設定一個生命週期政策  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECR.4](ecr-controls.md#ecr-4)  | ECR 公有儲存庫應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [ECR.5](ecr-controls.md#ecr-5)  | ECR 儲存庫應使用客戶受管加密 AWS KMS keys | NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [ECS.2](ecs-controls.md#ecs-2)  |  ECS 服務不應自動為其指派公有 IP 地址  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.3](ecs-controls.md#ecs-3)  |  ECS 任務定義不應共用主機的程序命名空間  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.4](ecs-controls.md#ecs-4)  |  ECS 容器應以非特殊權限執行  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.5](ecs-controls.md#ecs-5)  |  ECS 容器應僅限於對根檔案系統的唯讀存取  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.8](ecs-controls.md#ecs-8)  |  秘密不應做為容器環境變數傳遞  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.9](ecs-controls.md#ecs-9)  |  ECS 任務定義應具有記錄組態  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.10](ecs-controls.md#ecs-10)  |  ECS Fargate 服務應在最新的 Fargate 平台版本上執行  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.12](ecs-controls.md#ecs-12)  |  ECS 叢集應使用 Container Insights  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ECS.13](ecs-controls.md#ecs-13)  | ECS 服務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [ECS.14](ecs-controls.md#ecs-14)  | ECS 叢集應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [ECS.15](ecs-controls.md#ecs-15)  | ECS 任務定義應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [ECS.16](ecs-controls.md#ecs-16)  | ECS 任務集不應自動指派公有 IP 地址 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ECS.17](ecs-controls.md#ecs-17)  | ECS 任務定義不應使用主機網路模式 | NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ECS.18](ecs-controls.md#ecs-18)  | ECS 任務定義應針對 EFS 磁碟區使用傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ECS.19](ecs-controls.md#ecs-19)  | ECS 容量提供者應該啟用受管終止保護 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ECS.20](ecs-controls.md#ecs-20)  | ECS 任務定義應在 Linux 容器定義中設定非根使用者 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ECS.21](ecs-controls.md#ecs-21)  | ECS 任務定義應在 Windows 容器定義中設定非管理員使用者 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EFS.1](efs-controls.md#efs-1)  |  彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EFS.2](efs-controls.md#efs-2)  |  Amazon EFS 磁碟區應處於備份計劃中  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EFS.3](efs-controls.md#efs-3)  |  EFS 存取點應強制執行根目錄  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EFS.4](efs-controls.md#efs-4)  |  EFS 存取點應強制執行使用者身分  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EFS.5](efs-controls.md#efs-5)  | EFS 存取點應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EFS.6](efs-controls.md#efs-6)  | EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EFS.7](efs-controls.md#efs-7)  | EFS 檔案系統應該啟用自動備份 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EFS.8](efs-controls.md#efs-8)  | EFS 檔案系統應靜態加密 | CIS AWS Foundations Benchmark v5.0.0， AWS 基礎安全最佳實務 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EKS.1](eks-controls.md#eks-1)  |  不應公開存取 EKS 叢集端點  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [EKS.2](eks-controls.md#eks-2)  |  EKS 叢集應在支援的 Kubernetes 版本上執行  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EKS.3](eks-controls.md#eks-3)  | EKS 叢集應使用加密的 Kubernetes 秘密 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EKS.6](eks-controls.md#eks-6)  | EKS 叢集應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EKS.7](eks-controls.md#eks-7)  | EKS 身分提供者組態應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EKS.8](eks-controls.md#eks-8)  |  EKS 叢集應該啟用稽核記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ElastiCache.1](elasticache-controls.md#elasticache-1)  | ElastiCache (Redis OSS) 叢集應該啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | HIGH (高) | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [ElastiCache.2](elasticache-controls.md#elasticache-2)  |  ElastiCache 叢集應該啟用自動次要版本升級 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ElastiCache.3](elasticache-controls.md#elasticache-3)  | ElastiCache 複寫群組應該啟用自動容錯移轉  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ElastiCache.4](elasticache-controls.md#elasticache-4)  | ElastiCache 複寫群組應該靜態encrypted-at-rest |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ElastiCache.5](elasticache-controls.md#elasticache-5)  | ElastiCache 複寫群組應該在encrypted-in-transit | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ElastiCache.6](elasticache-controls.md#elasticache-6)  |  舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ElastiCache.7](elasticache-controls.md#elasticache-7)  | ElastiCache 叢集不應使用預設子網路群組 |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ElasticBeanstalk.1](elasticbeanstalk-controls.md#elasticbeanstalk-1)  |  Elastic Beanstalk 環境應啟用增強型運作狀態報告  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2)  |  應啟用 Elastic Beanstalk 受管平台更新  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3)  |  Elastic Beanstalk 應該將日誌串流至 CloudWatch  | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [ELB.1](elb-controls.md#elb-1)  |  Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ELB.2](elb-controls.md#elb-2)  |  具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.3](elb-controls.md#elb-3)  |  Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.4](elb-controls.md#elb-4)  |  Application Load Balancer 應設定為捨棄 http 標頭  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.5](elb-controls.md#elb-5)  |  應啟用應用程式和 Classic Load Balancer 記錄  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.6](elb-controls.md#elb-6)  | 應用程式、閘道和 Network Load Balancer 應啟用刪除保護 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ELB.7](elb-controls.md#elb-7)  |  Classic Load Balancer 應啟用連線耗盡  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  | 低 |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.8](elb-controls.md#elb-8)  |  具有 SSL 接聽程式的 Classic Load Balancer 應使用具有強大組態的預先定義安全政策  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.9](elb-controls.md#elb-9)  |  Classic Load Balancer 應啟用跨區域負載平衡  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.10](elb-controls.md#elb-10)  |  Classic Load Balancer 應跨越多個可用區域  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [ELB.12](elb-controls.md#elb-12)  |  Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.13](elb-controls.md#elb-13)  |  應用程式、網路和閘道負載平衡器應跨越多個可用區域  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [ELB.14](elb-controls.md#elb-14)  |  Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.16](elb-controls.md#elb-16)  |  Application Load Balancer 應與 AWS WAF Web ACL 建立關聯  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.17](elb-controls.md#elb-17)  | 具有接聽程式的應用程式和 Network Load Balancer 應使用建議的安全政策  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.18](elb-controls.md#elb-18)  | 應用程式和 Network Load Balancer 接聽程式應使用安全通訊協定來加密傳輸中的資料 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ELB.21](elb-controls.md#elb-21)  |  應用程式和 Network Load Balancer 目標群組應使用加密的運作狀態檢查通訊協定  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ELB.22](elb-controls.md#elb-22)  |  ELB 目標群組應使用加密傳輸通訊協定  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EMR.1](emr-controls.md#emr-1)  | Amazon EMR 叢集主節點不應具有公有 IP 地址 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EMR.2](emr-controls.md#emr-2)  | 應啟用 Amazon EMR 封鎖公開存取設定 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [EMR.3](emr-controls.md#emr-3)  | Amazon EMR 安全組態應靜態加密 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [EMR.4](emr-controls.md#emr-4)  | Amazon EMR 安全組態應在傳輸中加密 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ES.1](es-controls.md#es-1)  |  Elasticsearch 網域應該啟用靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ES.2](es-controls.md#es-2)  |  Elasticsearch 網域不應可公開存取  | AWS 基礎安全最佳實務、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [ES.3](es-controls.md#es-3)  |  Elasticsearch 網域應該加密節點之間傳送的資料  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版， |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ES.4](es-controls.md#es-4)  |  應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ES.5](es-controls.md#es-5)  |  Elasticsearch 網域應該啟用稽核記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ES.6](es-controls.md#es-6)  |  Elasticsearch 網域應至少具有三個資料節點  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ES.7](es-controls.md#es-7)  |  Elasticsearch 網域應該至少設定三個專用主節點  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [ES.8](es-controls.md#es-8)  | 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [ES.9](es-controls.md#es-9)  | 應標記 Elasticsearch 網域 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EventBridge.2](eventbridge-controls.md#eventbridge-2)  | 應標記 EventBridge 事件匯流排 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [EventBridge.3](eventbridge-controls.md#eventbridge-3)  |  EventBridge 自訂事件匯流排應連接以資源為基礎的政策  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [EventBridge.4](eventbridge-controls.md#eventbridge-4)  |  EventBridge 全域端點應該已啟用事件複寫  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [FraudDetector.1](frauddetector-controls.md#frauddetector-1)  | Amazon Fraud Detector 實體類型應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [FraudDetector.2](frauddetector-controls.md#frauddetector-2)  | Amazon Fraud Detector 標籤應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [FraudDetector.3](frauddetector-controls.md#frauddetector-3)  | Amazon Fraud Detector 結果應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [FraudDetector.4](frauddetector-controls.md#frauddetector-4)  | Amazon Fraud Detector 變數應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [FSx.1](fsx-controls.md#fsx-1)  |  FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  | 定期 | 
|  [FSx.2](fsx-controls.md#fsx-2)  | FSx for Lustre 檔案系統應設定為將標籤複製到備份 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [FSx.3](fsx-controls.md#fsx-3)  | FSx for OpenZFS 檔案系統應設定為異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [FSx.4](fsx-controls.md#fsx-4)  | FSx for NetApp ONTAP 檔案系統應設定為異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [FSx.5](fsx-controls.md#fsx-5)  | FSx for Windows File Server 檔案系統應設定為異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Glue.1](glue-controls.md#glue-1)  | AWS Glue 任務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Glue.3](glue-controls.md#glue-3)  | AWS Glue 機器學習轉換應該靜態加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Glue.4](glue-controls.md#glue-4)  | AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [GlobalAccelerator.1](globalaccelerator-controls.md#globalaccelerator-1)  | Global Accelerator 加速器應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [GuardDuty.1](guardduty-controls.md#guardduty-1)  |  GuardDuty 應啟用  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [GuardDuty.2](guardduty-controls.md#guardduty-2)  | GuardDuty 篩選條件應加上標籤  | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [GuardDuty.3](guardduty-controls.md#guardduty-3)  | GuardDuty IPSets 應加上標籤  | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [GuardDuty.4](guardduty-controls.md#guardduty-4)  | GuardDuty 偵測器應加上標籤  | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [GuardDuty.5](guardduty-controls.md#guardduty-5)  | 應啟用 GuardDuty EKS 稽核日誌監控 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.6](guardduty-controls.md#guardduty-6)  | 應啟用 GuardDuty Lambda 保護 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.7](guardduty-controls.md#guardduty-7)  | 應啟用 GuardDuty EKS 執行期監控 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.8](guardduty-controls.md#guardduty-8)  | 應啟用 EC2 的 GuardDuty 惡意軟體防護 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.9](guardduty-controls.md#guardduty-9)  | 應啟用 GuardDuty RDS 保護 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.10](guardduty-controls.md#guardduty-10)  | 應啟用 GuardDuty S3 保護 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.11](guardduty-controls.md#guardduty-11)  | 應啟用 GuardDuty 執行期監控 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.12](guardduty-controls.md#guardduty-12)  | 應啟用 GuardDuty ECS 執行期監控 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [GuardDuty.13](guardduty-controls.md#guardduty-13)  | 應啟用 GuardDuty EC2 執行期監控 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [IAM.1](iam-controls.md#iam-1)  |  IAM 政策不應允許完整的「\$1」管理權限  | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [IAM.2](iam-controls.md#iam-2)  |  IAM 使用者不應連接 IAM 政策  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [IAM.3](iam-controls.md#iam-3)  |  IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.4](iam-controls.md#iam-4)  |  IAM 根使用者存取金鑰不應存在  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.5](iam-controls.md#iam-5)  |  應為具有主控台密碼的所有 IAM 使用者啟用 MFA  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.6](iam-controls.md#iam-6)  |  應為根使用者啟用硬體 MFA  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.7](iam-controls.md#iam-7)  |  IAM 使用者的密碼政策應具有強大的組態  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2，PCI DSS 4.0.1 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [IAM .8](iam-controls.md#iam-8)  |  應該移除未使用的 IAM 使用者登入資料  | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.9](iam-controls.md#iam-9)  |  應為根使用者啟用 MFA  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.10](iam-controls.md#iam-10)  |  IAM 使用者的密碼政策應具有強大的組態  | NIST SP 800-171 第 2 版，PCI DSS 3.2.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.11](iam-controls.md#iam-11)  |  確保 IAM 密碼政策至少需要一個大寫字母  | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.12](iam-controls.md#iam-12)  |  確保 IAM 密碼政策至少需要一個小寫字母  | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.13](iam-controls.md#iam-13)  |  確保 IAM 密碼政策至少需要一個符號  | CIS AWS Foundations Benchmark 1.2.0 版，NIST SP 800-171 修訂版 2 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.14](iam-controls.md#iam-14)  |  確保 IAM 密碼政策至少需要一個數字  | CIS AWS Foundations Benchmark 1.2.0 版、NIST SP 800-171 第 2 版、PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.15](iam-controls.md#iam-15)  |  確保 IAM 密碼政策要求密碼長度下限為 14 或更高  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 修訂版 2 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.16](iam-controls.md#iam-16)  |  確保 IAM 密碼政策防止重複使用密碼  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.17](iam-controls.md#iam-17)  |  確保 IAM 密碼政策在 90 天內過期密碼  | CIS AWS Foundations Benchmark 1.2.0 版、PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.18](iam-controls.md#iam-18)  |  確保已建立支援角色來使用 管理事件 AWS 支援  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.19](iam-controls.md#iam-19)  |  應為所有 IAM 使用者啟用 MFA  | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS 3.2.1、PCI DSS 4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.21](iam-controls.md#iam-21)  |  您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [IAM.22](iam-controls.md#iam-22)  |  應移除未使用 45 天的 IAM 使用者登入資料  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-171 Rev. 2 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [IAM.23](iam-controls.md#iam-23)  | IAM Access Analyzer 分析器應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IAM.24](iam-controls.md#iam-24)  | IAM 角色應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IAM.25](iam-controls.md#iam-25)  | IAM 使用者應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IAM.26](iam-controls.md#iam-26) | 應該移除在 IAM 中管理的過期 SSL/TLS 憑證 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [IAM.27](iam-controls.md#iam-27)  | IAM 身分不應連接 AWSCloudShellFullAccess 政策 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [IAM.28](iam-controls.md#iam-28)  | 應啟用 IAM Access Analyzer 外部存取分析器 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Inspector.1](inspector-controls.md#inspector-1)  | 應啟用 Amazon Inspector EC2 掃描 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Inspector.2](inspector-controls.md#inspector-2)  | 應啟用 Amazon Inspector ECR 掃描 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Inspector.3](inspector-controls.md#inspector-3)  | 應啟用 Amazon Inspector Lambda 程式碼掃描 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Inspector.4](inspector-controls.md#inspector-4)  | 應啟用 Amazon Inspector Lambda 標準掃描 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [IoT.1](iot-controls.md#iot-1)  | AWS IoT Device Defender 安全設定檔應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoT.2](iot-controls.md#iot-2)  | AWS IoT Core 應標記緩解動作 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoT.3](iot-controls.md#iot-3)  | AWS IoT Core 維度應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoT.4](iot-controls.md#iot-4)  | AWS IoT Core 授權方應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoT.5](iot-controls.md#iot-5)  | AWS IoT Core 角色別名應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoT.6](iot-controls.md#iot-6)  | AWS IoT Core 政策應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTEvents.1](iotevents-controls.md#iotevents-1)  | AWS IoT Events 輸入應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTEvents.2](iotevents-controls.md#iotevents-2)  | AWS IoT Events 偵測器模型應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTEvents.3](iotevents-controls.md#iotevents-3)  | AWS IoT Events 警示模型應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTSiteWise.1](iotsitewise-controls.md#iotsitewise-1)  | AWS IoT SiteWise 資產模型應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTSiteWise.2](iotsitewise-controls.md#iotsitewise-2)  | AWS IoT SiteWise 儀表板應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTSiteWise.3](iotsitewise-controls.md#iotsitewise-3)  | AWS IoT SiteWise 閘道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTSiteWise.4](iotsitewise-controls.md#iotsitewise-4)  | AWS IoT SiteWise 入口網站應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTSiteWise.5](iotsitewise-controls.md#iotsitewise-5)  | AWS IoT SiteWise 專案應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTTwinMaker.1](iottwinmaker-controls.md#iottwinmaker-1)  | AWS IoT TwinMaker 同步任務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTTwinMaker.2](iottwinmaker-controls.md#iottwinmaker-2)  | AWS IoT TwinMaker 工作區應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTTwinMaker.3](iottwinmaker-controls.md#iottwinmaker-3)  | AWS IoT TwinMaker 場景應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTTwinMaker.4](iottwinmaker-controls.md#iottwinmaker-4)  | AWS IoT TwinMaker 實體應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTWireless.1](iotwireless-controls.md#iotwireless-1)  | AWS IoT Wireless 多點傳送群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTWireless.2](iotwireless-controls.md#iotwireless-2)  | AWS IoT Wireless 服務設定檔應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IoTWireless.3](iotwireless-controls.md#iotwireless-3)  | AWS IoT Wireless FUOTA 任務應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IVS.1](ivs-controls.md#ivs-1)  | IVS 播放金鑰對應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IVS.2](ivs-controls.md#ivs-2)  | IVS 記錄組態應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [IVS.3](ivs-controls.md#ivs-3)  | IVS 頻道應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [鍵空間。1](keyspaces-controls.md#keyspaces-1)  | Amazon Keyspaces 金鑰空間應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Kinesis.1](kinesis-controls.md#kinesis-1)  |  Kinesis 串流應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Kinesis.2](kinesis-controls.md#kinesis-2)  | Kinesis 串流應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Kinesis.3](kinesis-controls.md#kinesis-3)  | Kinesis 串流應具有足夠的資料保留期 | AWS 基礎安全最佳實務 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [KMS.1](kms-controls.md#kms-1)  |  IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [KMS.2](kms-controls.md#kms-2)  |  IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [KMS.3](kms-controls.md#kms-3)  |  AWS KMS keys 不應意外刪除  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [KMS.4](kms-controls.md#kms-4)  |  AWS KMS key 應該啟用輪換  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、CIS AWS Foundations Benchmark v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [KMS.5](kms-controls.md#kms-5)  | 不應公開存取 KMS 金鑰 | AWS 基礎安全最佳實務 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Lambda.1](lambda-controls.md#lambda-1)  |  Lambda 函數政策應禁止公開存取  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Lambda.2](lambda-controls.md#lambda-2)  |  Lambda 函數應使用支援的執行時間  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Lambda.3](lambda-controls.md#lambda-3)  |  Lambda 函數應該位於 VPC 中  |  PCI DSS v3.2.1、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Lambda.5](lambda-controls.md#lambda-5)  |  VPC Lambda 函數應該在多個可用區域中操作  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [Lambda.6](lambda-controls.md#lambda-6)  | Lambda 函數應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Lambda.7](lambda-controls.md#lambda-7)  | Lambda 函數應該啟用 AWS X-Ray 主動追蹤 | NIST SP 800-53 修訂版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Macie.1](macie-controls.md#macie-1)  |  應啟用 Amazon Macie  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [Macie.2](macie-controls.md#macie-2)  | 應啟用 Macie 自動化敏感資料探索 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [MSK.1](msk-controls.md#msk-1)  |  MSK 叢集應在代理程式節點之間傳輸時加密  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [MSK.2](msk-controls.md#msk-2)  |  MSK 叢集應該已設定增強型監控  |  NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [MSK.3](msk-controls.md#msk-3)  | MSK Connect 連接器應在傳輸中加密 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  | 變更已觸發 | 
|  [MSK.4](msk-controls.md#msk-4)  | MSK 叢集應該停用公有存取 | AWS 基礎安全最佳實務 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [MSK.5](msk-controls.md#msk-5)  | MSK 連接器應該已啟用記錄 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [MSK.6](msk-controls.md#msk-6)  | MSK 叢集應停用未驗證的存取 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [MQ.2](mq-controls.md#mq-2)  | ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [MQ.4](mq-controls.md#mq-4)  | Amazon MQ 代理程式應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [MQ.5](mq-controls.md#mq-5)  |  ActiveMQ 代理程式應使用作用中/待命部署模式  | NIST SP 800-53 修訂版 5 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [MQ.6](mq-controls.md#mq-6)  |  RabbitMQ 代理程式應使用叢集部署模式  | NIST SP 800-53 修訂版 5 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Neptune.1](neptune-controls.md#neptune-1)  |  Neptune 資料庫叢集應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  | 變更已觸發 | 
|  [Neptune.2](neptune-controls.md#neptune-2)  |  Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  | 變更已觸發 | 
|  [Neptune.3](neptune-controls.md#neptune-3)  |  Neptune 資料庫叢集快照不應公開  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Neptune.4](neptune-controls.md#neptune-4)  |  Neptune 資料庫叢集應該啟用刪除保護  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Neptune.5](neptune-controls.md#neptune-5)  |  Neptune 資料庫叢集應該啟用自動備份  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [Neptune.6](neptune-controls.md#neptune-6)  |  Neptune 資料庫叢集快照應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Neptune.7](neptune-controls.md#neptune-7)  |  Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Neptune.8](neptune-controls.md#neptune-8)  |  Neptune 資料庫叢集應設定為將標籤複製到快照  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Neptune.9](neptune-controls.md#neptune-9)  |  Neptune 資料庫叢集應該跨多個可用區域部署  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.1](networkfirewall-controls.md#networkfirewall-1)  |  網路防火牆防火牆應部署在多個可用區域  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2)  |  應啟用 Network Firewall 記錄  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3)  |  Network Firewall 政策應至少有一個相關聯的規則群組  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4)  |  Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.5](networkfirewall-controls.md#networkfirewall-5)  |  Network Firewall 政策的預設無狀態動作應為捨棄或轉送分段封包  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6)  |  無狀態網路防火牆規則群組不應為空  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.7](networkfirewall-controls.md#networkfirewall-7)  | 應標記 Network Firewall 防火牆 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [NetworkFirewall.8](networkfirewall-controls.md#networkfirewall-8)  | 應標記 Network Firewall 防火牆政策 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [NetworkFirewall.9](networkfirewall-controls.md#networkfirewall-9)  |  Network Firewall 防火牆應該啟用刪除保護  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10)  | Network Firewall 防火牆應該啟用子網路變更保護 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Opensearch.1](opensearch-controls.md#opensearch-1)  |  OpenSearch 網域應該啟用靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.2](opensearch-controls.md#opensearch-2)  |  OpenSearch 網域不應可公開存取  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.3](opensearch-controls.md#opensearch-3)  |  OpenSearch 網域應該加密節點之間傳送的資料  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.4](opensearch-controls.md#opensearch-4)  |  應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.5](opensearch-controls.md#opensearch-5)  |  OpenSearch 網域應該啟用稽核記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.6](opensearch-controls.md#opensearch-6)  |  OpenSearch 網域應至少具有三個資料節點  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.7](opensearch-controls.md#opensearch-7)  |  OpenSearch 網域應該啟用精細存取控制  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.8](opensearch-controls.md#opensearch-8)  | 應使用最新的 TLS 安全政策加密與 OpenSearch 網域的連線 |  AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Opensearch.9](opensearch-controls.md#opensearch-9)  | OpenSearch 網域應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Opensearch.10](opensearch-controls.md#opensearch-10)  |  OpenSearch 網域應該已安裝最新的軟體更新  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Opensearch.11](opensearch-controls.md#opensearch-11)  | OpenSearch 網域應至少具有三個專用主節點 | NIST SP 800-53 修訂版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [PCA.1](pca-controls.md#pca-1)  |  AWS 私有 CA 應停用根憑證授權單位  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  | 定期 | 
|  [PCA.2](pca-controls.md#pca-2)  | AWS 私有 CA 憑證授權單位應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.1](rds-controls.md#rds-1)  |  RDS 快照應為私有  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.2](rds-controls.md#rds-2)  |  RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.3](rds-controls.md#rds-3)  |  RDS 資料庫執行個體應啟用靜態加密  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NIST SP 800-53 Rev. 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.4](rds-controls.md#rds-4)  |  RDS 叢集快照和資料庫快照應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.5](rds-controls.md#rds-5)  |  RDS 資料庫執行個體應該設定多個可用區域  | CIS AWS Foundations Benchmark v5.0.0、 AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.6](rds-controls.md#rds-6)  |  應為 RDS 資料庫執行個體設定增強型監控  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [RDS.7](rds-controls.md#rds-7)  |  RDS 叢集應該已啟用刪除保護  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  | 中型 |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.8](rds-controls.md#rds-8)  |  RDS 資料庫執行個體應該已啟用刪除保護  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.9](rds-controls.md#rds-9)  | RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.10](rds-controls.md#rds-10)  |  應為 RDS 執行個體設定 IAM 身分驗證  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.11](rds-controls.md#rds-11)  |  RDS 執行個體應該啟用自動備份  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [RDS.12](rds-controls.md#rds-12)  |  應為 RDS 叢集設定 IAM 身分驗證  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.13](rds-controls.md#rds-13)  |  應啟用 RDS 自動次要版本升級  | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.14](rds-controls.md#rds-14)  |  Amazon Aurora 叢集應該已啟用恢復  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [RDS.15](rds-controls.md#rds-15)  |  應為多個可用區域設定 RDS 資料庫叢集  | CIS AWS Foundations Benchmark v5.0.0、 AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.16](rds-controls.md#rds-16)  | Aurora 資料庫叢集應設定為將標籤複製到資料庫快照 | AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5 | 低  | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [RDS.17](rds-controls.md#rds-17)  |  RDS 資料庫執行個體應設定為將標籤複製到快照  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.18](rds-controls.md#rds-18)  |  RDS 執行個體應該部署在 VPC 中  |   |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.19](rds-controls.md#rds-19)  |  應為關鍵叢集事件設定現有的 RDS 事件通知訂閱  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.20](rds-controls.md#rds-20)  |  應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.21](rds-controls.md#rds-21)  |  應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.22](rds-controls.md#rds-22)  |  應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.23](rds-controls.md#rds-23)  |  RDS 執行個體不應使用資料庫引擎預設連接埠  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.24](rds-controls.md#rds-24)  |  RDS 資料庫叢集應使用自訂管理員使用者名稱  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.25](rds-controls.md#rds-25)  |  RDS 資料庫執行個體應使用自訂管理員使用者名稱  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.26](rds-controls.md#rds-26)  |  RDS 資料庫執行個體應受備份計劃保護  |  NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [RDS.27](rds-controls.md#rds-27)  |  RDS 資料庫叢集應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.28](rds-controls.md#rds-28)  | RDS 資料庫叢集應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.29](rds-controls.md#rds-29)  | RDS 資料庫叢集快照應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.30](rds-controls.md#rds-30)  | RDS 資料庫執行個體應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.31](rds-controls.md#rds-31)  | RDS 資料庫安全群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.32](rds-controls.md#rds-32)  | RDS 資料庫快照應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.33](rds-controls.md#rds-33)  | RDS 資料庫子網路群組應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.34](rds-controls.md#rds-34)  |  Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.35](rds-controls.md#rds-35)  |  RDS 資料庫叢集應該啟用自動次要版本升級  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [RDS.36](rds-controls.md#rds-36)  | RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.37](rds-controls.md#rds-37)  | Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [RDS.38](rds-controls.md#rds-38)  | RDS for PostgreSQL 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.39](rds-controls.md#rds-39)  | RDS for MySQL 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.40](rds-controls.md#rds-40)  | RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [RDS.41](rds-controls.md#rds-41)  | RDS for SQL Server 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.42](rds-controls.md#rds-42)  | RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [RDS.43](rds-controls.md#rds-43)  | RDS 資料庫代理應該需要連線的 TLS 加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.44](rds-controls.md#rds-44)  | RDS for MariaDB 資料庫執行個體應在傳輸中加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.45](rds-controls.md#rds-45)  | Aurora MySQL 資料庫叢集應該啟用稽核記錄 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.46](rds-controls.md#rds-46)  | RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RDS.47](rds-controls.md#rds-47)  | RDS for PostgreSQL 資料庫叢集應設定為將標籤複製到資料庫快照 | AWS 基礎安全最佳實務 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [RDS.48](rds-controls.md#rds-48)  | RDS for MySQL 資料庫叢集應設定為將標籤複製到資料庫快照 | AWS 基礎安全最佳實務 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [RDS.50](rds-controls.md#rds-50)  |  RDS 資料庫叢集應設定足夠的備份保留期  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 是  |  變更已觸發  | 
|  [Redshift.1](redshift-controls.md#redshift-1)  |  Amazon Redshift 叢集應禁止公開存取  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.2](redshift-controls.md#redshift-2)  |  與 Amazon Redshift 叢集的連線應在傳輸中加密  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.3](redshift-controls.md#redshift-3)  |  Amazon Redshift 叢集應該啟用自動快照  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [Redshift.4](redshift-controls.md#redshift-4)  |  Amazon Redshift 叢集應該啟用稽核記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.6](redshift-controls.md#redshift-6)  |  Amazon Redshift 應該已啟用主要版本的自動升級  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.7](redshift-controls.md#redshift-7)  |  Redshift 叢集應使用增強型 VPC 路由  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.8](redshift-controls.md#redshift-8)  |  Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.10](redshift-controls.md#redshift-10)  |  Redshift 叢集應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [Redshift.11](redshift-controls.md#redshift-11)  | 應標記 Redshift 叢集 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Redshift.12](redshift-controls.md#redshift-12)  | 應標記 Redshift 事件訂閱通知 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Redshift.13](redshift-controls.md#redshift-13)  | 應標記 Redshift 叢集快照 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Redshift.14](redshift-controls.md#redshift-14)  | 應標記 Redshift 叢集子網路群組 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Redshift.15](redshift-controls.md#redshift-15)  | Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠 | AWS 基礎安全最佳實務，PCI DSS v4.0.1 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Redshift.16](redshift-controls.md#redshift-16)  | Redshift 叢集子網路群組應具有來自多個可用區域的子網路 | NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Redshift.17](redshift-controls.md#redshift-17)  | 應標記 Redshift 叢集參數群組 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Redshift.18](redshift-controls.md#redshift-18)  | Redshift 叢集應該啟用異地同步備份部署 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [RedshiftServerless.1](redshiftserverless-controls.md#redshiftserverless-1)  | Amazon Redshift Serverless 工作群組應使用增強型 VPC 路由 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2)  | 使用 SSL 時，需要連線至 Redshift Serverless 工作群組 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3)  | Redshift Serverless 工作群組應禁止公開存取 | AWS 基礎安全最佳實務 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4)  | Redshift Serverless 命名空間應使用客戶受管加密 AWS KMS keys | NIST SP 800-53 修訂版 5 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | 
|  [RedshiftServerless.5](redshiftserverless-controls.md#redshiftserverless-5)  | Redshift Serverless 命名空間不應使用預設的管理員使用者名稱 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6)  | Redshift Serverless 命名空間應將日誌匯出至 CloudWatch Logs | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Route53.1](route53-controls.md#route53-1)  | Route 53 運作狀態檢查應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Route53.2](route53-controls.md#route53-2)  |  Route 53 公有託管區域應記錄 DNS 查詢  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [S3.1](s3-controls.md#s3-1)  | S3 一般用途儲存貯體應啟用封鎖公開存取設定 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [S3.2](s3-controls.md#s3-2)  | S3 一般用途儲存貯體應封鎖公有讀取存取 | AWS 基礎安全最佳實務，PCI DSS 3.2.1 版，NIST SP 800-53 修訂版 5 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發和定期 | 
|  [S3.3](s3-controls.md#s3-3)  | S3 一般用途儲存貯體應封鎖公有寫入存取 | AWS 基礎安全最佳實務，PCI DSS 3.2.1 版，NIST SP 800-53 修訂版 5 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發和定期 | 
|  [S3.5](s3-controls.md#s3-5)  | S3 一般用途儲存貯體應要求請求使用 SSL | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.6](s3-controls.md#s3-6)  | S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.7](s3-controls.md#s3-7)  | S3 一般用途儲存貯體應使用跨區域複寫 | PCI DSS v3.2.1、NIST SP 800-53 修訂版 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.8](s3-controls.md#s3-8)  | S3 一般用途儲存貯體應封鎖公開存取 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、 AWS Foundational Security Best Practices、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.9](s3-controls.md#s3-9)  | S3 一般用途儲存貯體應啟用伺服器存取記錄 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.10](s3-controls.md#s3-10)  | 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 | NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.11](s3-controls.md#s3-11)  | S3 一般用途儲存貯體應啟用事件通知 | NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [S3.12](s3-controls.md#s3-12)  | ACLs不應用於管理使用者對 S3 一般用途儲存貯體的存取 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.13](s3-controls.md#s3-13)  | S3 一般用途儲存貯體應具有生命週期組態 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [S3.14](s3-controls.md#s3-14)  | S3 一般用途儲存貯體應該已啟用版本控制 | NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.15](s3-controls.md#s3-15)  | S3 一般用途儲存貯體應該已啟用物件鎖定 | NIST SP 800-53 修訂版 5，PCI DSS 4.0.1 版 | 中型 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [S3.17](s3-controls.md#s3-17)  | S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys | NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS 4.0.1 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.19](s3-controls.md#s3-19)  | S3 存取點應啟用封鎖公開存取設定 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.20](s3-controls.md#s3-20)  | S3 一般用途儲存貯體應啟用 MFA 刪除 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、CIS AWS Foundations Benchmark v1.4.0、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.22](s3-controls.md#s3-22)  | S3 一般用途儲存貯體應記錄物件層級寫入事件 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [S3.23](s3-controls.md#s3-23)  | S3 一般用途儲存貯體應記錄物件層級讀取事件 | CIS AWS Foundations Benchmark v5.0.0、CIS AWS Foundations Benchmark v3.0.0、PCI DSS v4.0.1 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [S3.24](s3-controls.md#s3-24)  | S3 多區域存取點應啟用封鎖公開存取設定 | AWS 基礎安全最佳實務，PCI DSS 4.0.1 版 | HIGH (高) | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [S3.25](s3-controls.md#s3-25)  | S3 目錄儲存貯體應該具有生命週期組態 | AWS 基礎安全最佳實務 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SageMaker.1](sagemaker-controls.md#sagemaker-1)  |  Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 3.2.1 版，PCI DSS 4.0.1 版 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [SageMaker.2](sagemaker-controls.md#sagemaker-2)  |  SageMaker 筆記本執行個體應該在自訂 VPC 中啟動  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.3](sagemaker-controls.md#sagemaker-3)  |  使用者不應擁有 SageMaker 筆記本執行個體的根存取權  |  AWS 基礎安全最佳實務 1.0.0 版，NIST SP 800-53 修訂版 5  |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.4](sagemaker-controls.md#sagemaker-4)  | SageMaker 端點生產變體的初始執行個體計數應大於 1 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [SageMaker.5](sagemaker-controls.md#sagemaker-5)  | SageMaker 模型應該啟用網路隔離 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [SageMaker.6](sagemaker-controls.md#sagemaker-6)  | SageMaker 應用程式映像組態應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SageMaker.7](sagemaker-controls.md#sagemaker-7)  | SageMaker 映像應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SageMaker.8](sagemaker-controls.md#sagemaker-8)  | SageMaker 筆記本執行個體應在支援的平台上執行 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [SageMaker.9](sagemaker-controls.md#sagemaker-9)  |  SageMaker 資料品質任務定義應該啟用容器間流量加密  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.10](sagemaker-controls.md#sagemaker-10)  |  SageMaker 模型可解釋性任務定義應該啟用容器間流量加密  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.11](sagemaker-controls.md#sagemaker-11)  |  SageMaker 資料品質任務定義應該啟用網路隔離  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.12](sagemaker-controls.md#sagemaker-12)  |  SageMaker 模型偏差任務定義應該啟用網路隔離  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.13](sagemaker-controls.md#sagemaker-13)  |  SageMaker 模型品質任務定義應該啟用容器間流量加密  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.14](sagemaker-controls.md#sagemaker-14)  |  SageMaker 監控排程應該啟用網路隔離  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SageMaker.15](sagemaker-controls.md#sagemaker-15)  |  SageMaker 模型偏差任務定義應該啟用容器間流量加密  |  AWS 基礎安全最佳實務 1.0.0 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SecretsManager.1](secretsmanager-controls.md#secretsmanager-1)  |  Secrets Manager 秘密應該啟用自動輪換  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2)  |  設定自動輪換的 Secrets Manager 秘密應能成功輪換  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3)  |  移除未使用的 Secrets Manager 秘密  | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4)  |  Secrets Manager 秘密應在指定的天數內輪換  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  定期  | 
|  [SecretsManager.5](secretsmanager-controls.md#secretsmanager-5)  | Secrets Manager 秘密應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [ServiceCatalog.1](servicecatalog-controls.md#servicecatalog-1)  | Service Catalog 產品組合應僅在 AWS 組織內共用 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [SES.1](ses-controls.md#ses-1)  | SES 聯絡人清單應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SES.2](ses-controls.md#ses-2)  | SES 組態集應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SES.3](ses-controls.md#ses-3)  | SES 組態集應啟用 TLS 以傳送電子郵件 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [SNS.1](sns-controls.md#sns-1)  | SNS 主題應使用 靜態加密 AWS KMS | NIST SP 800-53 修訂版 5，NIST SP 800-171 修訂版 2 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [SNS.3](sns-controls.md#sns-3)  | SNS 主題應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SNS.4](sns-controls.md#sns-4)  | SNS 主題存取政策不應允許公開存取 | AWS 基礎安全最佳實務 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [SQS.1](sqs-controls.md#sqs-1)  |  Amazon SQS 佇列應靜態加密  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SQS.2](sqs-controls.md#sqs-2)  | SQS 佇列應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SQS.3](sqs-controls.md#sqs-3)  | SQS 佇列存取政策不應允許公開存取 | AWS 基礎安全最佳實務 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [SSM.1](ssm-controls.md#ssm-1)  |  EC2 執行個體應該由 管理 AWS Systems Manager  |  AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 3.2.1 版、NIST SP 800-53 第 5 版  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SSM.2](ssm-controls.md#ssm-2)  |  Systems Manager 管理的 EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態  | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 |  HIGH (高)  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SSM.3](ssm-controls.md#ssm-3)  |  Systems Manager 管理的 EC2 執行個體應具有 COMPLIANT 的關聯合規狀態  | AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、PCI DSS v3.2.1、PCI DSS v4.0.1 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [SSM.4](ssm-controls.md#ssm-4)  |  SSM 文件不應公開  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  關鍵  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [SSM.5](ssm-controls.md#ssm-5)  | SSM 文件應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [SSM.6](ssm-controls.md#ssm-6)  | SSM Automation 應該啟用 CloudWatch 記錄 | AWS 基礎安全最佳實務 1.0.0 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [SSM.7](ssm-controls.md#ssm-7)  | SSM 文件應該啟用封鎖公開共用設定 | AWS 基礎安全最佳實務 1.0.0 版 | 關鍵 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [StepFunctions.1](stepfunctions-controls.md#stepfunctions-1)  |  Step Functions 狀態機器應該已開啟記錄  | AWS 基礎安全最佳實務 1.0.0 版、PCI DSS 4.0.1 版 |  中型  |  ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是  |  變更已觸發  | 
|  [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2)  | 應標記 Step Functions 活動 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Transfer.1](transfer-controls.md#transfer-1)  | Transfer Family 工作流程應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Transfer.2](transfer-controls.md#transfer-2)  | Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線 | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 定期 | 
|  [Transfer.3](transfer-controls.md#transfer-3)  | Transfer Family 連接器應該已啟用記錄 | AWS 基礎安全最佳實務，NIST SP 800-53 修訂版 5 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [Transfer.4](transfer-controls.md#transfer-4)  | Transfer Family 協議應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Transfer.5](transfer-controls.md#transfer-5)  | Transfer Family 憑證應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Transfer.6](transfer-controls.md#transfer-6)  | Transfer Family 連接器應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [Transfer.7](transfer-controls.md#transfer-7)  | Transfer 系列設定檔應加上標籤 | AWS 資源標記標準 | 低 | ![\[Yes\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-yes.png) 是 | 變更已觸發 | 
|  [WAF.1](waf-controls.md#waf-1)  |  AWS 應啟用 WAF Classic Global Web ACL 記錄  | AWS 基礎安全最佳實務，NIST SP 800-53 第 5 版，PCI DSS 4.0.1 版 |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [WAF.2](waf-controls.md#waf-2)  |  AWS WAF Classic Regional 規則應至少有一個條件  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.3](waf-controls.md#waf-3)  |  AWS WAF Classic Regional 規則群組應至少有一個規則  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.4](waf-controls.md#waf-4)  |  AWS WAF Classic Regional Web ACLs應該至少有一個規則或規則群組  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.6](waf-controls.md#waf-6)  |  AWS WAF Classic 全域規則應至少有一個條件  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.7](waf-controls.md#waf-7)  |  AWS WAF Classic 全域規則群組應至少有一個規則  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.8](waf-controls.md#waf-8)  |  AWS WAF Classic 全域 Web ACLs應至少有一個規則或規則群組  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.10](waf-controls.md#waf-10)  |  AWS WAF Web ACLs應該至少有一個規則或規則群組  |  AWS 基礎安全最佳實務 1.0.0 版、NIST SP 800-53 修訂版 5  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WAF.11](waf-controls.md#waf-11)  |  AWS 應啟用 WAF Web ACL 記錄  | NIST SP 800-53 修訂版 5，PCI DSS 4.0.1 版 |  低  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  定期  | 
|  [WAF.12](waf-controls.md#waf-12)  |  AWS WAF 規則應該啟用 CloudWatch 指標  |  AWS 基礎安全最佳實務 v1.0.0、NIST SP 800-53 修訂版 5、NIST SP 800-171 修訂版 2  |  中型  |  ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否  |  變更已觸發  | 
|  [WorkSpaces.1](workspaces-controls.md#workspaces-1)  | WorkSpaces 使用者磁碟區應靜態加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 
|  [WorkSpaces.2](workspaces-controls.md#workspaces-2)  | WorkSpaces 根磁碟區應靜態加密 | AWS 基礎安全最佳實務 | 中型 | ![\[No\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/icon-no.png) 否 | 變更已觸發 | 

# Security Hub CSPM 控制項的變更日誌
<a name="controls-change-log"></a>

下列變更日誌會追蹤現有 AWS Security Hub CSPM 控制項的重大變更，這可能會導致控制項的整體狀態及其調查結果的合規狀態發生變更。如需 Security Hub CSPM 如何評估控制狀態的資訊，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。變更在此日誌中的項目後可能需要幾天的時間，才能影響所有可用的 AWS 區域 控制項。

此日誌會追蹤 2023 年 4 月以來發生的變更。選擇控制項來檢閱其其他詳細資訊。標題變更會在控制項的詳細說明中記下 90 天。


| 變更日期 | 控制項 ID 和標題 | 變更描述 | 
| --- | --- | --- | 
| 2026 年 4 月 3 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 `1.32` `1.33`。Amazon EKS 中 Kubernetes 1.32 版的標準支援已於 2026 年 3 月 23 日結束。  | 
| 2026 年 4 月 3 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | 支援執行時間的 Lambda.2 參數不再包含，ruby3.2因為 Lambda 已取代此執行時間。 | 
| 2026 年 3 月 24 日 | [【RDS.50】 RDS 資料庫叢集應設定足夠的備份保留期間](rds-controls.md#rds-50) | Security Hub CSPM 已更新控制項標題，以反映控制項會檢查所有 RDS 資料庫叢集。 | 
| 2026 年 3 月 24 日 | [【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取](ecs-controls.md#ecs-5) | Security Hub CSPM 已更新控制項標題和描述，以反映控制項檢查 ECS 任務定義。Security Hub CSPM 也更新了控制項，不為`runtimePlatform`設定為指定`WINDOWS_SERVER`作業系統系列的任務定義產生調查結果。 | 
| 2026 年 3 月 9 日 | 【AppSync.1] AWS AppSync API 快取應靜態加密 | Security Hub CSPM 已淘汰此控制項，並將其從[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)中移除。 AWS AppSync 現在為所有目前和未來的 API 快取提供預設加密。 | 
| 2026 年 3 月 9 日 | 【AppSync.6] AWS AppSync API 快取應在傳輸中加密 | Security Hub CSPM 已淘汰此控制項，並將其從[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)中移除。 AWS AppSync 現在為所有目前和未來的 API 快取提供預設加密。 | 
| 2026 年 3 月 4 日 | 【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義 | Security Hub CSPM 已淘汰此控制項，並將其從[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)和 [NIST SP 800-53 修訂版 5 標準中移除。](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)  | 
| 2026 年 2 月 5 日 | [【AppSync.1] AWS AppSync API 快取應靜態加密](appsync-controls.md#appsync-1) | Security Hub CSPM 將於 2026 年 3 月 9 日淘汰此控制項，並從所有適用的 Security Hub CSPM 標準中移除。 AWS AppSync 正在為所有目前和未來的 API 快取提供預設加密。 | 
| 2026 年 2 月 5 日 | [【AppSync.6] AWS AppSync API 快取應在傳輸中加密](appsync-controls.md#appsync-6) | Security Hub CSPM 將於 2026 年 3 月 9 日淘汰此控制項，並從所有適用的 Security Hub CSPM 標準中移除。 AWS AppSync 正在為所有目前和未來的 API 快取提供預設加密。 | 
| 2026 年 1 月 16 日 | [【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義](ecs-controls.md#ecs-1) | Security Hub CSPM 已通知 2026 年 2 月 16 日之後，將會淘汰此控制項，並從所有適用的 Security Hub CSPM 標準中移除。 | 
| 2026 年 1 月 12 日 | [【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4) | Security Hub CSPM 已更新此控制項以移除 `loggingEnabled` 參數。 | 
| 2026 年 1 月 12 日 | 【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級 | Security Hub CSPM 已淘汰控制項，並從所有適用標準中移除控制項。Security Hub CSPM 由於 Amazon MQ 要求自動次要版本升級而淘汰控制項。 先前，控制項適用於[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)、[NIST SP 800-53 修訂版 5 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)和 [PCI DSS 4.0.1 版標準。](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)  | 
| 2026 年 1 月 12 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `dotnet10`做為此控制項的參數值。 AWS Lambda 已新增此執行時間的支援。 | 
| 2025 年 12 月 15 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 `python3.9` 做為此 control 的參數值。 AWS Lambda 不再支援此執行時間。 | 
| 2025 年 12 月 12 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 `1.31` `1.32`。Amazon EKS 中 Kubernetes 1.31 版的標準支援已於 2025 年 11 月 26 日結束。  | 
| 2025 年 11 月 21 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `nodejs24.x`和 `python3.14`做為此控制項的參數值。 AWS Lambda 已新增這些執行時間的支援。 | 
| 2025 年 11 月 14 日 | [【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15) | Security Hub CSPM 已更新此控制項的描述和原理。先前，控制項只會使用 `MapPublicIpOnLaunch`旗標在 Amazon VPC 子網路中檢查 IPv4 公有 IP 自動指派。此控制項現在會檢查 IPv4 和 IPv6 公有 IP 自動指派。已更新控制項的描述和原理，以反映這些變更。 | 
| 2025 年 11 月 14 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `java25`做為此控制項的參數值。 AWS Lambda 新增了對此執行時間的支援。 | 
| 2025 年 11 月 13 日 | [【SNS.4】 SNS 主題存取政策不應允許公開存取](sns-controls.md#sns-4) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `HIGH` `CRITICAL`。允許公開存取 Amazon SNS 主題會造成重大的安全風險。 | 
| 2025 年 11 月 13 日 | [【SQS.3】 SQS 佇列存取政策不應允許公開存取](sqs-controls.md#sqs-3) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `HIGH` `CRITICAL`。允許公開存取 Amazon SQS 佇列會造成重大的安全風險。 | 
| 2025 年 11 月 13 日 | [【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控](guardduty-controls.md#guardduty-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `MEDIUM` `HIGH`。這種類型的執行期監控可為 Amazon EKS 資源提供增強型威脅偵測。 | 
| 2025 年 11 月 13 日 | [【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。次要版本升級包括維護 Amazon MQ 代理程式安全性所需的安全修補程式。 | 
| 2025 年 11 月 13 日 | [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。軟體更新包括維護 OpenSearch 網域安全所需的安全修補程式。 | 
| 2025 年 11 月 13 日 | [【RDS.7】 RDS 叢集應該啟用刪除保護](rds-controls.md#rds-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。刪除保護有助於防止意外刪除 Amazon RDS 資料庫，以及未經授權的實體刪除 RDS 資料庫。 | 
| 2025 年 11 月 13 日 | [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。Amazon CloudWatch Logs 中的 AWS CloudTrail 記錄資料可用於稽核活動、警示和其他重要的安全操作。 | 
| 2025 年 11 月 13 日 | [【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `HIGH` `MEDIUM`。與特定帳戶共用 AWS Service Catalog 產品組合可能是有意的，不一定表示產品組合可公開存取。 | 
| 2025 年 11 月 13 日 | [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `MEDIUM` `LOW`。Amazon CloudFront 分佈的預設`cloudfront.net`網域名稱是隨機產生的，可降低安全風險。 | 
| 2025 年 11 月 13 日 | [【ELB.7】 Classic Load Balancer 應啟用連線耗盡](elb-controls.md#elb-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `MEDIUM` `LOW`。在多執行個體部署中，其他運作狀態良好的執行個體可以在執行個體終止時處理使用者工作階段，而不會耗盡連線，進而降低營運影響和可用性風險。 | 
| 2025 年 11 月 13 日 | [【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM 已更新此控制項，以移除選用`validAdminUserNames`參數。 | 
| 2025 年 10 月 23 日 | [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1) | Security Hub CSPM 已還原 2025 年 10 月 14 日對此控制項的標題、描述和規則所做的變更。 | 
| 2025 年 10 月 22 日 | [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM 已更新此控制項，而不會為使用自訂原始伺服器的 Amazon CloudFront 分佈產生問題清單。  | 
| 2025 年 10 月 16 日 | [【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策](cloudfront-controls.md#cloudfront-15) | 此控制項會檢查 Amazon CloudFront 分佈是否設定為使用建議的 TLS 安全政策。Security Hub CSPM 現在支援 `TLSv1.2_2025`和 `TLSv1.3_2025`做為此控制項的參數值。 | 
| 2025 年 10 月 14 日 | [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1) | Security Hub CSPM 已變更此控制項的標題、描述和規則。先前，控制項會使用 [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) 規則檢查 Redis OSS 叢集和所有複寫群組。控制項的標題為：*ElastiCache (Redis OSS) 叢集應該啟用自動備份*。 除了 Redis OSS 叢集和所有複寫群組之外，此控制項現在會使用已啟用 [elasticache-automatic-backup-check-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) 規則來檢查 Valkey 叢集。新的標題和描述反映控制項會檢查這兩種類型的叢集。  | 
| 2025 年 10 月 5 日 | [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10) | 如果 Amazon OpenSearch Service 網域沒有可用的軟體更新，且更新狀態不符合資格，則此控制項的規則已更新，也會產生`PASSED`問題清單。先前，只有在 OpenSearch 網域沒有可用的軟體更新且更新狀態完成時，此控制項才會產生`PASSED`調查結果。  | 
| 2025 年 9 月 24 日 | 【Redshift.9】 Redshift 叢集不應使用預設資料庫名稱 【RedshiftServerless.7] Redshift Serverless 命名空間不應使用預設資料庫名稱 | Security Hub CSPM 已淘汰這些控制項，並將其從所有適用標準中移除。Security Hub CSPM 已淘汰這些控制項，因為 Amazon Redshift 固有限制導致無法有效修復控制項的問題`FAILED`清單。 先前，適用於[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)和 [NIST SP 800-53 修訂版 5 標準的控制項。](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)Redshift.9 控制項也套用至[AWS Control Tower 服務受管標準](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。  | 
| 2025 年 9 月 9 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 `nodejs18.x` 做為此控制項的參數值。 AWS Lambda 不再支援 Node.js 18 執行時間。 | 
| 2025 年 8 月 13 日 | [【SageMaker.5] SageMaker 模型應該啟用網路隔離](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更準確地反映控制項會檢查 Amazon SageMaker AI 託管模型`EnableNetworkIsolation`參數的設定。先前，此控制項的標題為：*SageMaker models should block inbound traffic*。  | 
| 2025 年 8 月 13 日 | [【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯](efs-controls.md#efs-6) | Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更精確地反映控制項執行之檢查的範圍和性質。先前，此控制項的標題為：*EFS mount targets should not be associated with a public subnet*。  | 
| 2025 年 7 月 24 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 `1.30` `1.31`。Amazon EKS 中 Kubernetes 1.30 版的標準支援已於 2025 年 7 月 23 日結束。  | 
| 2025 年 7 月 23 日 | [【EC2.173】 具有啟動參數的 EC2 Spot 機群請求應啟用已連接 EBS 磁碟區的加密](ec2-controls.md#ec2-173) | Security Hub CSPM 已變更此控制項的標題。新標題更準確地反映控制項只會檢查指定啟動參數的 Amazon EC2 Spot Fleet 請求。先前，此控制項的標題為：*EC2 Spot Fleet requests should enable encryption for attached EBS volumes*。  | 
| 2025 年 6 月 30 日 | [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13) | Security Hub CSPM 從 [PCI DSS v4.0.1 標準](pci-standard.md)中移除此控制項。PCI DSS 4.0.1 版並未明確要求在密碼中使用符號。  | 
| 2025 年 6 月 30 日 | [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17) | Security Hub CSPM 從 [NIST SP 800-171 修訂版 2 標準](standards-reference-nist-800-171.md)中移除此控制項。NIST SP 800-171 修訂版 2 未明確要求密碼過期期間為 90 天或更少。  | 
| 2025 年 6 月 30 日 | [【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-16) | Security Hub CSPM 已變更此控制項的標題。新標題更準確地反映控制項只會檢查 Amazon Aurora 資料庫叢集。先前，此控制項的標題為：*RDS DB clusters should be configured to copy tags to snapshots*。 | 
| 2025 年 6 月 30 日 | [【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行](sagemaker-controls.md#sagemaker-8) | 此控制項會根據筆記本執行個體指定的平台識別符，檢查 Amazon SageMaker AI 筆記本執行個體是否設定為在支援的平台上執行。Security Hub CSPM 不再支援 `notebook-al2-v1`和 `notebook-al2-v2`做為此控制項的參數值。在這些平台上執行的筆記本執行個體已於 2025 年 6 月 30 日終止支援。 | 
| 2025 年 5 月 30 日 | [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10) | Security Hub CSPM 從 [PCI DSS v4.0.1 標準](pci-standard.md)中移除此控制項。此控制項會檢查 IAM 使用者的帳戶密碼政策是否符合最低要求，包括至少 7 個字元的密碼長度。PCI DSS v4.0.1 現在需要密碼至少 8 個字元。控制項會繼續套用至具有不同密碼要求的 PCI DSS v3.2.1 標準。 若要根據 PCI DSS v4.0.1 要求評估帳戶密碼政策，您可以使用 [IAM.7 控制項。](iam-controls.md#iam-7)此控制項需要密碼至少 8 個字元。它也支援密碼長度和其他參數的自訂值。IAM.7 控制項是 Security Hub CSPM 中 PCI DSS v4.0.1 標準的一部分。  | 
| 2025 年 5 月 8 日 | 【RDS.46】 RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中 | Security Hub CSPM 完全復原了 RDS.46 控制項的版本。 AWS 區域先前，此控制項支援 AWS 基礎安全最佳實務 (FSBP) 標準。 | 
| 2025 年 4 月 7 日 | [【ELB.17】 具有接聽程式的應用程式和網路負載平衡器應使用建議的安全政策](elb-controls.md#elb-17) | 此控制項會檢查 Application Load Balancer 的 HTTPS 接聽程式或 Network Load Balancer 的 TLS 接聽程式是否設定為使用建議的安全政策來加密傳輸中的資料。Security Hub CSPM 現在支援此控制項的兩個額外參數值： `ELBSecurityPolicy-TLS13-1-2-Res-2021-06`和 `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`。 | 
| 2025 年 3 月 27 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `ruby3.4`做為此控制項的參數值。 AWS Lambda 已新增此執行時間的支援。 | 
| 2025 年 3 月 26 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。針對 `oldestVersionSupported` 參數，Security Hub CSPM 會將值從 變更為 `1.29` `1.30`。最舊支援的 Kubernetes 版本現在為 `1.30`。 | 
| 2025 年 3 月 10 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 `dotnet6`和 `python3.8`作為此 control 的參數值。 AWS Lambda 不再支援這些執行時間。 | 
| 2025 年 3 月 7 日 | [【RDS.18】 RDS 執行個體應部署在 VPC 中](rds-controls.md#rds-18) | Security Hub CSPM 已從 AWS 基礎安全最佳實務標準和自動檢查 NIST SP 800-53 修訂版 5 要求中移除此控制項。由於 Amazon EC2-Classic 網路已淘汰，因此 Amazon Relational Database Service (Amazon RDS) 執行個體無法再部署在 VPC 外部。控制項仍是[AWS Control Tower 服務受管標準](service-managed-standard-aws-control-tower.md)的一部分。 | 
| 2025 年 1 月 10 日 | 【Glue.2】 AWS Glue 任務應該已啟用記錄 | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。 | 
| 2024 年 12 月 20 日 | EC2.61 到 EC2.169  | Security Hub CSPM 透過 EC2.169 控制項復原 EC2.61 的版本。 | 
| 2024 年 12 月 12 日 | [【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠](rds-controls.md#rds-23)  | RDS.23 會檢查 Amazon Relational Database Service (Amazon RDS) 叢集或執行個體是否使用資料庫引擎預設連接埠以外的連接埠。我們會更新控制項，讓基礎 AWS Config 規則NOT\$1APPLICABLE針對屬於叢集的 RDS 執行個體傳回 的結果。 | 
| 2024 年 12 月 2 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 nodejs22.x做為參數。 | 
| 2024 年 11 月 26 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本現在是 1.29。 | 
| 2024 年 11 月 20 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)  | Config.1 會檢查 AWS Config 是否已啟用、使用 服務連結角色，並記錄已啟用控制項的資源。Security Hub CSPM 將此控制項的嚴重性從 提高`MEDIUM`為 `CRITICAL`。Security Hub CSPM 也為失敗的 Config.1 調查結果新增[了新的狀態碼和狀態原因](controls-findings-create-update.md#control-findings-asff-compliance)。這些變更反映 Config.1 對 Security Hub CSPM 控制項操作的重要性。如果您已停用 AWS Config 或 資源錄製，則可能會收到不正確的控制問題清單。 若要接收 Config.1 的問題`PASSED`清單，請開啟對應至已啟用 Security Hub CSPM 控制項之資源的資源記錄，並停用組織中不需要的控制項。如需 AWS Config 設定 Security Hub CSPM 的說明，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需 Security Hub CSPM 控制項及其對應資源的清單，請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。 | 
| 2024 年 11 月 12 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.13做為參數。 | 
| 2024 年 10 月 11 日 | ElastiCache 控制項  | 已變更 ElastiCache.3,ElastiCache.4,ElastiCache.5, 和 ElastiCache.7. 標題不再提及 Redis OSS，因為控制項也適用於 ElastiCache for Valkey。 | 
| 2024 年 9 月 27 日 | [【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4)  | 從  Application Load Balancer 變更的控制標題應設定為捨棄 http 標頭至 Application Load Balancer 應設定為捨棄無效的 http 標頭。 | 
| 2024 年 8 月 19 日 | DMS.12 和 ElastiCache 控制項的標題變更  | 透過 ElastiCache.7 變更 DMS.12 和 ElastiCache.1 ElastiCache.7. 我們變更了這些標題，以反映 Amazon ElastiCache (Redis OSS) 服務中的名稱變更。 | 
| 2024 年 8 月 15 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)  | Config.1 會檢查 AWS Config 是否已啟用、使用 服務連結角色，並記錄已啟用控制項的資源。Security Hub CSPM 新增了名為 的自訂控制參數includeConfigServiceLinkedRoleCheck。透過將此參數設定為 false，您可以選擇不檢查 是否 AWS Config 使用服務連結角色。 | 
| 2024 年 7 月 31 日 | [【IoT.1] AWS IoT Device Defender 安全設定檔應加上標籤](iot-controls.md#iot-1)  | 從AWS IoT Core 安全性描述檔變更的控制標題應標記為AWS IoT Device Defender 安全性描述檔應標記。 | 
| 2024 年 7 月 29 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 nodejs16.x 做為參數。 | 
| 2024 年 7 月 29 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本是 1.28。 | 
| 2024 年 6 月 25 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)  | 此控制項會檢查 AWS Config 是否已啟用、 是否使用服務連結角色，以及記錄已啟用控制項的資源。Security Hub CSPM 已更新控制項標題，以反映控制項評估的內容。 | 
| 2024 年 6 月 14 日 | [【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34)  | 此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否已設定為將稽核日誌發佈至 Amazon CloudWatch Logs。Security Hub CSPM 已更新控制項，因此不會產生 Aurora Serverless v1 資料庫叢集的問題清單。 | 
| 2024 年 6 月 11 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本為 1.27。 | 
| 2024 年 6 月 10 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)  | 此控制項會檢查 AWS Config 是否已啟用，以及是否開啟 AWS Config 資源記錄。先前，只有在您為所有資源設定記錄時，控制項才會產生PASSED調查結果。Security Hub CSPM 已更新控制項，以在啟用控制項所需的資源開啟記錄時產生PASSED問題清單。控制項也已更新，以檢查是否使用 AWS Config 服務連結角色，這可提供記錄必要資源的許可。 | 
| 2024 年 5 月 8 日 | [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)  | 此控制項會檢查 Amazon S3 一般用途版本控制的儲存貯體是否已啟用多重要素驗證 (MFA) 刪除。在過去，控制項會針對具有生命週期組態的儲存貯體產生FAILED調查結果。不過，無法在具有生命週期組態的儲存貯體上啟用具有版本控制的 MFA 刪除。Security Hub CSPM 已更新控制項，對具有生命週期組態的儲存貯體不會產生問題清單。控制項描述已更新，以反映目前的行為。 | 
| 2024 年 5 月 2 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本，以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.26。 | 
| 2024 年 4 月 30 日 | [【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-3)  | 應將 CloudTrail  的控制標題變更為至少應啟用一個 CloudTrail 追蹤。如果 AWS 帳戶 至少已啟用一個 CloudTrail 追蹤，則此控制項目前會產生PASSED問題清單。已變更標題和描述，以準確反映目前的行為。 | 
| 2024 年 4 月 29 日 | [【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1)  | 與 Classic Load Balancer 相關聯的 Auto Scaling 群組變更控制標題應使用負載平衡器運作狀態檢查，而與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查。此控制項目前評估 Application、Gateway、Network 和 Classic Load Balancer。已變更標題和描述，以準確反映目前的行為。 | 
| 2024 年 4 月 19 日 | [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)  | 控制項會檢查 AWS CloudTrail 是否已啟用並設定至少一個包含讀取和寫入管理事件的多區域線索。先前，當帳戶已啟用 CloudTrail 並設定至少一個多區域追蹤時，即使沒有擷取讀取和寫入管理事件，控制項仍錯誤地產生PASSED調查結果。控制項現在只會在啟用 CloudTrail 並設定至少一個擷取讀取和寫入管理事件的多區域線索時產生PASSED調查結果。 | 
| 2024 年 4 月 10 日 | 【Athena.1】 Athena 工作群組應靜態加密  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。Athena 工作群組會將日誌傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 現在會在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。 | 
| 2024 年 4 月 10 日 | 【AutoScaling.4] Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的中繼資料回應跳轉限制取決於工作負載。 | 
| 2024 年 4 月 10 日 | 【CloudFormation.1] CloudFormation 堆疊應與 Simple Notification Service (SNS) 整合  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。將 AWS CloudFormation 堆疊與 Amazon SNS 主題整合不再是安全最佳實務。雖然整合重要的 CloudFormation 堆疊與 SNS 主題可能很有用，但並非所有堆疊都需要。 | 
| 2024 年 4 月 10 日 | 【CodeBuild.5] CodeBuild 專案環境不應啟用特權模式  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。在 CodeBuild 專案中啟用特權模式不會對客戶環境造成額外的風險。 | 
| 2024 年 4 月 10 日 | 【IAM.20】 避免使用根使用者  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。此控制項的目的涵蓋於另一個控制項 [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)。 | 
| 2024 年 4 月 10 日 | 【SNS.2】 應針對傳送至主題的通知訊息啟用傳遞狀態記錄  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。記錄 SNS 主題的交付狀態不再是安全最佳實務。雖然重要 SNS 主題的記錄傳遞狀態可能很有用，但並非所有主題都需要這樣做。 | 
| 2024 年 4 月 10 日 | [【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態](s3-controls.md#s3-10)  | Security Hub CSPM 已從 AWS 基礎安全最佳實務和服務受管標準中移除此控制項： AWS Control Tower。此控制項的目的由另外兩個控制項涵蓋： [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13)和 [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14)。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。 | 
| 2024 年 4 月 10 日 | [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11)  | Security Hub CSPM 已從 AWS 基礎安全最佳實務和服務受管標準中移除此控制項： AWS Control Tower。雖然在某些情況下S3 儲存貯體的事件通知很有用，但這不是通用的安全最佳實務。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。 | 
| 2024 年 4 月 10 日 | [【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS](sns-controls.md#sns-1)  | Security Hub CSPM 已從 AWS 基礎安全最佳實務和服務受管標準中移除此控制項： AWS Control Tower。根據預設，SNS 會使用磁碟加密來加密靜態主題。如需詳細資訊，請參閱[資料加密](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html)。不再建議使用 AWS KMS 加密主題做為安全最佳實務。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。 | 
| 2024 年 4 月 8 日 | [【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護](elb-controls.md#elb-6)  | 從 Application Load Balancer 刪除保護變更的控制標題應啟用至 Application、Gateway 和 Network Load Balancer 應啟用刪除保護。此控制項目前評估 Application、Gateway 和 Network Load Balancer。已變更標題和描述，以準確反映目前的行為。 | 
| 2024 年 3 月 22 日 | [【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線](opensearch-controls.md#opensearch-8)  | 從連線至 OpenSearch 網域變更控制標題應使用 TLS 1.2 加密為連線至 OpenSearch 網域應使用最新的 TLS 安全政策加密。先前，控制項只會檢查 OpenSearch 網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全政策加密 OpenSearch 網域，控制項現在會產生PASSED問題清單。控制項標題和描述已更新，以反映目前的行為。 | 
| 2024 年 3 月 22 日 | [【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8)  | 從連線至 Elasticsearch 網域變更的控制標題應使用 TLS 1.2 加密為連線至 Elasticsearch 網域，應使用最新的 TLS 安全政策加密。先前，控制項只會檢查與 Elasticsearch 網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全政策加密 Elasticsearch 網域，控制項現在會產生PASSED問題清單。控制項標題和描述已更新，以反映目前的行為。 | 
| 2024 年 3 月 12 日 | [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)  | 從 S3 封鎖公開存取設定變更為 S3 一般用途儲存貯體時，應該啟用封鎖公開存取設定。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2)  | 從 S3 儲存貯體變更的標題應禁止公開讀取存取 S3 一般用途儲存貯體應封鎖公開讀取存取。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3)  | 從 S3 儲存貯體變更的標題應禁止公開寫入存取 S3 一般用途儲存貯體應封鎖公開寫入存取。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)  | 從 S3 儲存貯體變更的標題應要求請求使用 Secure Socket Layer 到 S3 一般用途儲存貯體應要求請求使用 SSL。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6)  | 從授予其他儲存貯體政策 AWS 帳戶 之 S3 許可變更的標題，應限制為 S3 一般用途儲存貯體政策應限制對其他政策的存取 AWS 帳戶。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7)  | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體應使用跨區域複寫。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7)  | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體應使用跨區域複寫。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)  | 應該在儲存貯體層級將 S3 封鎖公開存取設定的標題變更為 S3 一般用途儲存貯體應該封鎖公開存取。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9)  | 應針對 S3 一般用途儲存貯體啟用從 S3 儲存貯體伺服器存取記錄變更的標題至伺服器存取記錄S3。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態](s3-controls.md#s3-10)  | 從已啟用版本控制的 S3 儲存貯體變更標題時，生命週期政策應設定為已啟用版本控制的 S3 一般用途儲存貯體時，應具有生命週期組態。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11)  | 從 S3 儲存貯體變更的標題應啟用事件通知至 S3 一般用途儲存貯體應啟用事件通知。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取](s3-controls.md#s3-12)  | 來自 S3 存取控制清單 (ACLs) 的變更標題不應用於管理使用者對 ACL 的存取不應用於管理使用者對 S3 一般用途儲存貯體的存取 ACLs。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13)  | 從 S3 儲存貯體變更的標題應該將生命週期政策設定為 S3 一般用途儲存貯體應該具有生命週期組態。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14)  | 從 S3 儲存貯體變更的標題應該使用版本控制到 S3 一般用途儲存貯體應該已啟用版本控制。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定](s3-controls.md#s3-15)  | 從 S3 儲存貯體變更的標題應設定為使用物件鎖定到 S3 一般用途儲存貯體應啟用物件鎖定。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 12 日 | [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17)  | 從 S3 儲存貯體變更的標題應使用 靜態加密 AWS KMS keys為 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | 
| 2024 年 3 月 7 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 nodejs20.x和 ruby3.3做為參數。 | 
| 2024 年 2 月 22 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 dotnet8做為參數。 | 
| 2024 年 2 月 5 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本，以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.25。 | 
| 2024 年 1 月 10 日 | [【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1)  | 從 CodeBuild GitHub 或 Bitbucket 來源儲存庫 URLs 變更的標題應使用 OAuth 至 CodeBuild Bitbucket 來源儲存庫 URLs不應包含敏感憑證。Security Hub CSPM 已移除提及 OAuth，因為其他連線方法也可能是安全的。Security Hub CSPM 已移除提及 GitHub，因為在 GitHub 來源儲存庫 URLs 中無法再擁有個人存取字符或使用者名稱和密碼。 | 
| 2024 年 1 月 8 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 go1.x和 java8做為參數，因為這些是淘汰的執行時間。 | 
| 2023 年 12 月 29 日 | [【RDS.8】 RDS 資料庫執行個體應啟用刪除保護](rds-controls.md#rds-8)  | RDS.8 會檢查使用其中一個受支援資料庫引擎的 Amazon RDS 資料庫執行個體是否已啟用刪除保護。Security Hub CSPM 現在支援 custom-oracle-ee、 oracle-ee-cdb和 oracle-se2-cdb做為資料庫引擎。 | 
| 2023 年 12 月 22 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 java21和 python3.12做為參數。Security Hub CSPM 不再支援 ruby2.7 做為參數。 | 
| 2023 年 12 月 15 日 | [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1)  | CloudFront.1 會檢查 Amazon CloudFront 分佈是否已設定預設根物件。Security Hub CSPM 將此控制項的嚴重性從 CRITICAL 降低為 HIGH，因為新增預設根物件是取決於使用者應用程式和特定需求的建議。 | 
| 2023 年 12 月 5 日  | [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13)  | 安全群組的變更控制標題不應允許從 0.0.0.0/0 傳入連接埠 22 到安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22。 | 
| 2023 年 12 月 5 日  | [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389](ec2-controls.md#ec2-14)  | 變更控制標題自 確保沒有安全群組允許從 0.0.0.0/0 傳入連接埠 3389 到安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389。 | 
| 2023 年 12 月 5 日  | [【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9)  | 從資料庫記錄變更的控制標題應啟用至  RDS 資料庫執行個體，並將日誌發佈至 CloudWatch Logs。Security Hub CSPM 已識別此控制項只會檢查日誌是否發佈至 Amazon CloudWatch Logs，而不會檢查是否啟用 RDS 日誌。如果 RDS 資料庫執行個體設定為將日誌發佈至 CloudWatch Logs，控制項會產生PASSED問題清單。控制項標題已更新，以反映目前的行為。 | 
| 2023 年 12 月 5 日 | [【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8)  | 此控制項會檢查 Amazon EKS 叢集是否已啟用稽核記錄。Security Hub CSPM 用來評估此控制項的 AWS Config 規則從 變更為 eks-cluster-logging-enabled eks-cluster-log-enabled。 | 
| 2023 年 11 月 17 日  | [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19)  | EC2.19 會檢查安全群組的無限制傳入流量是否可供被視為高風險的指定連接埠存取。Security Hub CSPM 更新了此控制項，以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '：：/0'，則控制項會產生FAILED調查結果。 | 
| 2023 年 11 月 16 日  | [【CloudWatch.15] CloudWatch 警示應已設定指定的動作](cloudwatch-controls.md#cloudwatch-15)  | 從 CloudWatch 警示變更控制標題時，應針對 ALARM 狀態設定動作至  CloudWatch 警示時，應已設定指定的動作。 | 
| 2023 年 11 月 16 日  | [【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間](cloudwatch-controls.md#cloudwatch-16)  | 從 CloudWatch 日誌群組變更的控制標題應保留至少 1 年，而  CloudWatch 日誌群組應保留一段指定的時間。 | 
| 2023 年 11 月 16 日  | [【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作](lambda-controls.md#lambda-5)  | 從 VPC Lambda 函數變更的控制標題應該在多個可用區域中操作，而  VPC Lambda 函數應該在多個可用區域中操作。 | 
| 2023 年 11 月 16 日  | [【AppSync.2] AWS AppSync 應該啟用欄位層級記錄](appsync-controls.md#appsync-2)  | 從 變更的控制標題AWS AppSync 應開啟請求層級和欄位層級記錄，AWS AppSync 且應啟用欄位層級記錄。 | 
| 2023 年 11 月 16 日  | [【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1)  | 從 Amazon Elastic MapReduce 叢集主節點變更的控制標題不應具有 Amazon EMR 叢集主節點的公有 IP 地址，不應具有公有 IP 地址。 | 
| 2023 年 11 月 16 日  | [【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2)  | 從 OpenSearch 網域變更的控制標題應位於 VPC 中，不應公開存取 OpenSearch 網域。 | 
| 2023 年 11 月 16 日  | [【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2)  | 從 Elasticsearch 網域變更的控制標題應位於 VPC 中，不應公開存取 Elasticsearch 網域。 | 
| 2023 年 10 月 31 日  | [【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤](es-controls.md#es-4)  | ES.4 會檢查 Elasticsearch 網域是否設定為將錯誤日誌傳送至 Amazon CloudWatch Logs。控制項先前為 Elasticsearch 網域產生了一個PASSED問題清單，該網域已將任何日誌設定為傳送至 CloudWatch Logs。Security Hub CSPM 已更新控制項，僅針對設定為將錯誤日誌傳送至 CloudWatch Logs 的 Elasticsearch 網域產生PASSED調查結果。控制項也已更新，將不支援錯誤日誌的 Elasticsearch 版本排除在評估之外。 | 
| 2023 年 10 月 16 日  | [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22](ec2-controls.md#ec2-13)  | EC2.13 會檢查安全群組是否允許不受限制的連接埠 22 傳入存取。Security Hub CSPM 更新了此控制項，以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '：：/0'，則控制項會產生FAILED調查結果。 | 
| 2023 年 10 月 16 日  | [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389](ec2-controls.md#ec2-14)  | EC2.14 會檢查安全群組是否允許不受限制的連接埠 3389 傳入存取。Security Hub CSPM 更新了此控制項，以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '：：/0'，則控制項會產生FAILED調查結果。 | 
| 2023 年 10 月 16 日  | [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18)  | EC2.18 會檢查使用中的安全群組是否允許不受限制的傳入流量。Security Hub CSPM 更新了此控制項，以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '：：/0'，則控制項會產生FAILED調查結果。 | 
| 2023 年 10 月 16 日  | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.11做為參數。 | 
| 2023 年 10 月 4 日  | [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7)  | Security Hub CSPM 新增了 值ReplicationType為 的 參數，CROSS-REGION以確保 S3 儲存貯體已啟用跨區域複寫，而不是啟用相同區域複寫。 | 
| 2023 年 9 月 27 日  | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本，以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.24。 | 
| 2023 年 9 月 20 日  | 【CloudFront.2] CloudFront 分佈應啟用原始存取身分  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。反之，請參閱 [【CloudFront.13] CloudFront 分佈應使用原始存取控制](cloudfront-controls.md#cloudfront-13)。原始存取控制是目前的安全最佳實務。此控制項將在 90 天內從文件中移除。 | 
| 2023 年 9 月 20 日  | [【EC2.22】 應移除未使用的 Amazon EC2 安全群組](ec2-controls.md#ec2-22)  | Security Hub CSPM 已從 AWS 基礎安全最佳實務 (FSBP) 和國家標準技術研究所 (NIST) SP 800-53 修訂版 5 中移除此控制。它仍然是服務受管標準的一部分： AWS Control Tower。如果安全群組連接到 EC2 執行個體或彈性網路介面，此控制項會產生傳遞的問題清單。不過，對於某些使用案例，未連接的安全群組不會構成安全風險。您可以使用其他 EC2 控制項，例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19，來監控您的安全群組。 | 
| 2023 年 9 月 20 日  | 【EC2.29】 應在 VPC 中啟動 EC2 執行個體  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。Amazon EC2 已將 EC2-Classic 執行個體遷移至 VPC。此控制項將在 90 天內從文件中移除。 | 
| 2023 年 9 月 20 日  | [S3.4] S3 儲存貯體應啟用伺服器端加密  | Security Hub CSPM 已淘汰此控制項，並將其從所有標準中移除。Amazon S3 現在會在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。使用 SS3-S3 或 SS3-KMS 伺服器端加密的現有儲存貯體的加密設定保持不變。此控制項將在 90 天內從文件中移除。 | 
| 2023 年 9 月 14 日  | [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)  | 來自 VPC 預設安全群組的變更控制標題不應允許傳入和傳出至 VPC 預設安全群組的流量不應允許傳入或傳出流量。 | 
| 2023 年 9 月 14 日  | [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)  | 應該為根使用者啟用從虛擬 MFA 到 MFA 的變更控制標題。 | 
|  2023 年 9 月 14 日  | [【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-19)  | 應將關鍵叢集事件的 RDS 事件通知訂閱變更控制標題設定為關鍵叢集事件的現有 RDS 事件通知訂閱。 | 
| 2023 年 9 月 14 日  | [【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20)  | 應將關鍵資料庫執行個體事件的 RDS 事件通知訂閱變更控制標題，設定為關鍵資料庫執行個體事件的現有 RDS 事件通知訂閱。 | 
| 2023 年 9 月 14 日  | [【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件](waf-controls.md#waf-2)  | 從 WAF 區域規則變更控制標題應至少有一個條件變更為AWS WAF 傳統區域規則應至少有一個條件。 | 
| 2023 年 9 月 14 日  | [【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則](waf-controls.md#waf-3)  | 從 WAF 區域規則群組變更控制標題時，至少應有一個規則變更為 AWS WAF Classic 區域規則群組時，至少應有一個規則。 | 
| 2023 年 9 月 14 日  | [【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-4)  | 從 WAF 區域 Web ACL 變更的控制項標題應具有至少一個規則或規則群組，而 AWS WAF Classic 區域 Web ACLs 應具有至少一個規則或規則群組。 | 
| 2023 年 9 月 14 日  | [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6)  | 從 WAF 全域規則變更控制標題應至少有一個條件變更為 AWS WAF Classic 全域規則應至少有一個條件。 | 
| 2023 年 9 月 14 日  | [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7)  | 將控制項標題從 WAF 全域規則群組變更為 Classic 全域規則群組時，AWS WAF 至少應有一個規則。 | 
| 2023 年 9 月 14 日  | [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8)  | 從 WAF 全域 Web ACL 變更控制標題應至少有一個規則或規則群組，變更為 AWS WAF Classic 全域 Web ACLs 應至少有一個規則或規則群組。 | 
| 2023 年 9 月 14 日  | [【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組](waf-controls.md#waf-10)  | 從  WAFv2 Web ACL 變更的控制標題應該至少有一個規則或規則群組到 AWS WAF Web ACLs 應該至少有一個規則或規則群組。 | 
| 2023 年 9 月 14 日  | [【WAF.11】應該啟用 AWS WAF Web ACL 記錄](waf-controls.md#waf-11)  | AWS WAF應該啟用從 v2 Web ACL 記錄到 AWS WAF Web ACL 記錄的變更控制標題。 | 
|  2023 年 7 月 20 日  | [S3.4] S3 儲存貯體應啟用伺服器端加密  | S3.4 會檢查 Amazon S3 儲存貯體是否已啟用伺服器端加密，或 S3 儲存貯體政策是否明確拒絕沒有伺服器端加密的PutObject請求。Security Hub CSPM 已更新此控制項，以包含使用 KMS 金鑰 (DSSE-KMS) 的雙層伺服器端加密。當 S3 儲存貯體使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密時，控制項會產生傳遞的調查結果。 | 
| 2023 年 7 月 17 日  | [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17)  | S3.17 會檢查 Amazon S3 儲存貯體是否使用 加密 AWS KMS key。Security Hub CSPM 已更新此控制項，以包含使用 KMS 金鑰 (DSSE-KMS) 的雙層伺服器端加密。當 S3 儲存貯體使用 SSE-KMS 或 DSSE-KMS 加密時，控制項會產生傳遞的問題清單。 | 
| 2023 年 6 月 9 日  | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)  | EKS.2 會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。最舊的支援版本現在是 1.23。 | 
| 2023 年 6 月 9 日  | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 ruby3.2 做為參數。 | 
| 2023 年 6 月 5 日  | [【APIGateway.5] API Gateway REST API 快取資料應靜態加密](apigateway-controls.md#apigateway-5)  | APIGateway.5.checks Amazon API Gateway REST API 階段中的所有方法是否靜態加密。Security Hub CSPM 已更新控制項，僅在對該方法啟用快取時評估特定方法的加密。 | 
| 2023 年 5 月 18 日  | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 java17 做為參數。 | 
| 2023 年 5 月 18 日  | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 nodejs12.x 做為參數。 | 
| 2023 年 4 月 23 日  | [【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10)  | ECS.10 會檢查 Amazon ECS Fargate 服務是否正在執行最新的 Fargate 平台版本。客戶可以直接透過 ECS 或使用 CodeDeploy 部署 Amazon ECS。Security Hub CSPM 更新了此控制項，以便在您使用 CodeDeploy 部署 ECS Fargate 服務時產生傳遞的問題清單。 | 
| 2023 年 4 月 20 日  | [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6)  | S3.6 會檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策是否防止委託人對 S3 儲存貯體中的資源 AWS 帳戶 執行拒絕動作。Security Hub CSPM 已更新控制項，以考慮儲存貯體政策中的條件。 | 
| 2023 年 4 月 18 日  | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.10 做為參數。 | 
| 2023 年 4 月 18 日  | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)  | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 dotnetcore3.1 做為參數。 | 
| 2023 年 4 月 17 日  | [【RDS.11】 RDS 執行個體應該啟用自動備份](rds-controls.md#rds-11)  | RDS.11 會檢查 Amazon RDS 執行個體是否已啟用自動備份，且備份保留期間大於或等於七天。Security Hub CSPM 已更新此控制項，以排除僅供讀取複本的評估，因為並非所有引擎都支援在僅供讀取複本上自動備份。此外，RDS 不提供在建立僅供讀取複本時指定備份保留期的選項。依0預設，會建立備份保留期為 的僅供讀取複本。 | 

# 的 Security Hub CSPM 控制項 AWS 帳戶
<a name="account-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS 帳戶。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶
<a name="account-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.2、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html](https://docs.aws.amazon.com/config/latest/developerguide/security-account-information-provided.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Web Services (AWS) 帳戶是否具有安全性聯絡資訊。如果未為帳戶提供安全聯絡資訊，則控制項會失敗。

備用安全聯絡人允許 AWS 與其他人聯絡，以解決您帳戶的問題，以防您無法聯絡。通知可以是來自 或其他 AWS 服務 團隊 支援，與您的 AWS 帳戶 用量相關的安全相關主題。

### 修補
<a name="account-1-remediation"></a>

若要將替代聯絡人新增為安全聯絡人 AWS 帳戶，請參閱*AWS 《帳戶管理參考指南*》中的[更新替代聯絡人 AWS 帳戶](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html)。

## 【Account.2】 AWS 帳戶 應該是 AWS Organizations 組織的一部分
<a name="account-2"></a>

**類別：**保護 > 安全存取控制 > 存取控制

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html](https://docs.aws.amazon.com/config/latest/developerguide/account-part-of-organizations.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS 帳戶 是否為透過 管理之組織的一部分 AWS Organizations。如果帳戶不是組織的一部分，則控制項會失敗。

Organizations 可協助您在擴展工作負載時集中管理環境 AWS。您可以使用多個 AWS 帳戶 來隔離具有特定安全需求的工作負載，或遵循 HIPAA 或 PCI 等架構。透過建立組織，您可以單一單位管理多個帳戶，並集中管理其對 AWS 服務資源和區域的存取。

### 修補
<a name="account-2-remediation"></a>

若要建立新組織並自動 AWS 帳戶 新增至組織，請參閱*AWS Organizations 《 使用者指南*》中的[建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。若要將帳戶新增至現有組織，請參閱*AWS Organizations 《 使用者指南*》中的[邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。

# 的 Security Hub CSPM 控制項 AWS Amplify
<a name="amplify-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS Amplify 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Amplify.1】 Amplify 應用程式應加上標籤
<a name="amplify-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Amplify::App`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-app-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Amplify 應用程式是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果應用程式沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果應用程式沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="amplify-1-remediation"></a>

如需有關將標籤新增至 AWS Amplify 應用程式的資訊，請參閱《 *AWS Amplify 託管使用者指南*》中的[資源標記支援](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html)。

## 【Amplify.2】 Amplify 分支應加上標籤
<a name="amplify-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Amplify::Branch`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/amplify-branch-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Amplify 分支是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果分支沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果分支沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="amplify-2-remediation"></a>

如需將標籤新增至 AWS Amplify 分支的詳細資訊，請參閱*AWS Amplify 《 託管使用者指南*》中的[資源標記支援](https://docs.aws.amazon.com/amplify/latest/userguide/resource-tagging-support-chapter.html)。

# Amazon API Gateway 的 Security Hub CSPM 控制項
<a name="apigateway-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon API Gateway 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【APIGateway.1] 應啟用 API Gateway REST 和 WebSocket API 執行記錄
<a name="apigateway-1"></a>

**相關要求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：**`AWS::ApiGateway::Stage`、 `AWS::ApiGatewayV2::Stage`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `loggingLevel`  |  Logging level (記錄層級)  |  列舉  |  `ERROR`, `INFO`  |  `No default value`  | 

此控制項會檢查 Amazon API Gateway REST 或 WebSocket API 的所有階段是否已啟用記錄。如果 `loggingLevel` 不是 `ERROR`或 `INFO` API 的所有階段，則控制項會失敗。除非您提供自訂參數值來指出應該啟用特定日誌類型，否則如果記錄層級為 `ERROR`或 ，Security Hub CSPM 會產生傳遞的問題清單`INFO`。

API Gateway REST 或 WebSocket API 階段應該啟用相關日誌。API Gateway REST 和 WebSocket API 執行記錄提供對 API Gateway REST 和 WebSocket API 階段提出請求的詳細記錄。這些階段包括 API 整合後端回應、Lambda 授權方回應，以及 AWS 整合端點`requestId`的 。

### 修補
<a name="apigateway-1-remediation"></a>

若要啟用 REST 和 WebSocket API 操作的記錄，請參閱 [API Gateway 開發人員指南中的使用 API Gateway 主控台設定 CloudWatch API 記錄](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console)。 **

## 【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證
<a name="apigateway-2"></a>

**相關需求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.NIST.800-53.r5 SC-85.r5 SI-7 3.13.15

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ApiGateway::Stage`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon API Gateway REST API 階段是否已設定 SSL 憑證。後端系統使用這些憑證來驗證傳入請求是否來自 API Gateway。

API Gateway REST API 階段應使用 SSL 憑證設定，以允許後端系統驗證請求是否來自 API Gateway。

### 修補
<a name="apigateway-2-remediation"></a>

如需如何產生和設定 API Gateway REST API SSL 憑證的詳細說明，請參閱 *API Gateway 開發人員指南*中的[產生和設定後端身分驗證的 SSL 憑證](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html)。

## 【APIGateway.3] API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤
<a name="apigateway-3"></a>

**相關需求：**NIST.800-53.r5 CA-7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：** `AWS::ApiGateway::Stage`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查您的 Amazon API Gateway REST API 階段是否已啟用 AWS X-Ray 主動追蹤。

X-Ray 主動追蹤可更快速回應基礎基礎設施的效能變更。效能變更可能會導致 API 無法使用。X-Ray 主動追蹤提供使用者請求的即時指標，這些請求會流經您的 API Gateway REST API 操作和連線服務。

### 修補
<a name="apigateway-3-remediation"></a>

如需如何為 API Gateway REST API 操作啟用 X-Ray 主動追蹤的詳細指示，請參閱《 *AWS X-Ray 開發人員指南*》中的 [的 Amazon API Gateway 主動追蹤支援 AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html)。

## 【APIGateway.4] API Gateway 應與 WAF Web ACL 建立關聯
<a name="apigateway-4"></a>

**相關需求：**NIST.800-53.r5 AC-4(21)

**類別：**保護 > 保護服務

**嚴重性：**中

**資源類型：** `AWS::ApiGateway::Stage`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 API Gateway 階段是否使用 AWS WAF Web 存取控制清單 (ACL)。如果 AWS WAF Web ACL 未連接至 REST API Gateway 階段，則此控制會失敗。

AWS WAF 是一種 Web 應用程式防火牆，可協助保護 Web 應用程式和 APIs免受攻擊。它可讓您設定 ACL，這是一組規則，可根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 API Gateway 階段與 AWS WAF Web ACL 相關聯，以協助保護其免受惡意攻擊。

### 修補
<a name="apigateway-4-remediation"></a>

如需有關如何使用 API Gateway 主控台將 AWS WAF 區域性 Web ACL 與現有 API Gateway API 階段建立關聯的資訊，請參閱[APIs Gateway 開發人員指南》中的使用 AWS WAF 來保護您的](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) API。 **

## 【APIGateway.5] API Gateway REST API 快取資料應靜態加密
<a name="apigateway-5"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 ‒ 資料保護 ‒ 靜態資料加密

**嚴重性：**中

**資源類型：** `AWS::ApiGateway::Stage`

**AWS Config rule：**`api-gw-cache-encrypted`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 API Gateway REST API 階段中已啟用快取的所有方法是否已加密。如果 API Gateway REST API 階段中的任何方法設定為快取且未加密快取，則控制項會失敗。Security Hub CSPM 只有在針對該方法啟用快取時，才會評估特定方法的加密。

加密靜態資料可降低未驗證的使用者存取磁碟上儲存的資料的風險 AWS。它會新增另一組存取控制，以限制未經授權的使用者存取資料的能力。例如，需要 API 許可才能解密資料，才能讀取資料。

API Gateway REST API 快取應靜態加密，以增加一層安全性。

### 修補
<a name="apigateway-5-remediation"></a>

若要設定階段的 API 快取，請參閱[《 API Gateway 開發人員指南》中的啟用 Amazon API Gateway 快取](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching)。 **在**快取設定**中，選擇**加密快取資料**。

## 【APIGateway.8] API Gateway 路由應指定授權類型
<a name="apigateway-8"></a>

**相關需求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::ApiGatewayV2::Route`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `authorizationType`  |  API 路由的授權類型  |  列舉  |  `AWS_IAM`, `CUSTOM`, `JWT`  |  無預設值  | 

此控制項會檢查 Amazon API Gateway 路由是否具有授權類型。如果 API Gateway 路由沒有任何授權類型，則控制項會失敗。或者，如果您希望控制項僅在路由使用 參數中指定的授權類型時傳遞，您可以提供自訂`authorizationType`參數值。

API Gateway 支援多種機制來控制和管理 API 的存取。透過指定授權類型，您可以將 API 的存取限制為僅限授權的使用者或程序。

### 修補
<a name="apigateway-8-remediation"></a>

若要設定 HTTP APIs 的授權類型，請參閱[《 API Gateway 開發人員指南》中的在 API Gateway 中控制和管理對 HTTP API 的存取](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html)。 **若要設定 WebSocket APIs 的授權類型，請參閱《 API Gateway 開發人員指南》中的[在 API Gateway 中控制和管理對 WebSocket API 的存取](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html)。 **

## 【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄
<a name="apigateway-9"></a>

**相關要求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(7)、PCIIST.1400.10.4.2。

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::ApiGatewayV2::Stage`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon API Gateway V2 階段是否已設定存取記錄。如果未定義存取日誌設定，則此控制項會失敗。

API Gateway 存取日誌提供有關誰存取您的 API 以及發起人如何存取 API 的詳細資訊。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。啟用這些存取日誌以分析流量模式和疑難排解問題。

如需其他最佳實務，請參閱[APIs開發人員指南》中的監控 REST](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) *API*。

### 修補
<a name="apigateway-9-remediation"></a>

若要設定存取記錄，請參閱 [API Gateway 開發人員指南中的使用 API Gateway 主控台設定 CloudWatch API 記錄](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console)。 **

## 【APIGateway.10] API Gateway V2 整合應使用 HTTPS 進行私有連線
<a name="apigateway-10"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ApiGatewayV2::Integration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 API Gateway V2 整合是否已針對私有連線啟用 HTTPS。如果私有連線未設定 TLS，則控制項會失敗。

VPC 連結會將 API Gateway 連線至私有資源。當 VPC Links 建立私有連線時，它們本質上不會加密資料。設定 TLS 可確保使用 HTTPS 從用戶端到後端的end-to-end加密。如果沒有 TLS，敏感 API 流量會在私有連線之間未加密。HTTPS 加密可透過私有連線保護流量，避免資料攔截、man-in-the-middle攻擊和憑證暴露。

### 修補
<a name="apigateway-10-remediation"></a>

若要在 API Gateway v2 整合中啟用私有連線的傳輸中加密，請參閱《*Amazon API Gateway 開發人員指南*》中的[更新私有整合](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update)。設定 [TLS 組態](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig)，讓私有整合使用 HTTPS 通訊協定。

# 的 Security Hub CSPM 控制項 AWS AppConfig
<a name="appconfig-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS AppConfig 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【AppConfig.1] AWS AppConfig 應用程式應加上標籤
<a name="appconfig-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppConfig::Application`

**AWS Config 規則：**`appconfig-application-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS AppConfig 應用程式是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果應用程式沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果應用程式未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="appconfig-1-remediation"></a>

若要將標籤新增至 AWS AppConfig 應用程式，請參閱 *AWS AppConfig API 參考*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)中的 。

## 【AppConfig.2] AWS AppConfig 組態設定檔應加上標籤
<a name="appconfig-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppConfig::ConfigurationProfile`

**AWS Config 規則：**`appconfig-configuration-profile-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS AppConfig 組態描述檔是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果組態描述檔沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果組態設定檔未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="appconfig-2-remediation"></a>

若要將標籤新增至 AWS AppConfig 組態設定檔，請參閱 *AWS AppConfig API 參考*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)中的 。

## 【AppConfig.3] AWS AppConfig 環境應加上標籤
<a name="appconfig-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppConfig::Environment`

**AWS Config 規則：**`appconfig-environment-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS AppConfig 環境是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果環境沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果環境未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="appconfig-3-remediation"></a>

若要將標籤新增至 AWS AppConfig 環境，請參閱 *AWS AppConfig API 參考*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)中的 。

## 【AppConfig.4] AWS AppConfig 應標記延伸關聯
<a name="appconfig-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppConfig::ExtensionAssociation`

**AWS Config 規則：**`appconfig-extension-association-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS AppConfig 延伸關聯是否具有與參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果延伸關聯沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果延伸關聯未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="appconfig-4-remediation"></a>

若要將標籤新增至 AWS AppConfig 延伸關聯，請參閱《 *AWS AppConfig API 參考*[https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appconfig/2019-10-09/APIReference/API_TagResource.html)》中的 。

# Amazon AppFlow 的 Security Hub CSPM 控制項
<a name="appflow-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon AppFlow 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【AppFlow.1] Amazon AppFlow 流程應加上標籤
<a name="appflow-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppFlow::Flow`

**AWS Config 規則：**`appflow-flow-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon AppFlow 流程是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果流程沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果流程未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="appflow-1-remediation"></a>

若要將標籤新增至 Amazon AppFlow 流程，請參閱《[Amazon AppFlow 使用者指南》中的在 Amazon AppFlow 中建立流程](https://docs.aws.amazon.com/appflow/latest/userguide/flows-manage.html)。 * AppFlow *

# 的 Security Hub CSPM 控制項 AWS App Runner
<a name="apprunner-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS App Runner 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【AppRunner.1] App Runner 服務應加上標籤
<a name="apprunner-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppRunner::Service`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-service-tagged.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS App Runner 服務是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果 App Runner 服務沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果 App Runner 服務未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="apprunner-1-remediation"></a>

如需將標籤新增至 AWS App Runner 服務的資訊，請參閱 *AWS App Runner API 參考*[https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)中的 。

## 【AppRunner.2] 應標記 App Runner VPC 連接器
<a name="apprunner-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppRunner::VpcConnector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/apprunner-vpc-connector-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS App Runner VPC 連接器是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果 VPC 連接器沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果 VPC 連接器未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="apprunner-2-remediation"></a>

如需將標籤新增至 AWS App Runner VPC 連接器的詳細資訊，請參閱《 *AWS App Runner API 參考*[https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html](https://docs.aws.amazon.com/apprunner/latest/api/API_TagResource.html)》中的 。

# 的 Security Hub CSPM 控制項 AWS AppSync
<a name="appsync-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS AppSync 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【AppSync.1] AWS AppSync API 快取應靜態加密
<a name="appsync-1"></a>

**重要**  
Security Hub CSPM 已於 2026 年 3 月 9 日淘汰此控制項。如需詳細資訊，請參閱 [Security Hub CSPM 控制項的變更日誌](controls-change-log.md). AWS AppSync now 為所有目前和未來的 API 快取提供預設加密。

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::AppSync::GraphQLApi`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-at-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS AppSync API 快取是否靜態加密。如果 API 快取未靜態加密，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="appsync-1-remediation"></a>

您無法在啟用 AWS AppSync API 的快取之後變更加密設定。反之，您必須刪除快取，並在啟用加密的情況下重新建立快取。如需詳細資訊，請參閱《 *AWS AppSync 開發人員指南*》中的[快取加密](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)。

## 【AppSync.2] AWS AppSync 應該啟用欄位層級記錄
<a name="appsync-2"></a>

**相關要求：**PCI DSS v4.0.1/10.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::AppSync::GraphQLApi`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `fieldLoggingLevel`  |  欄位記錄層級  |  列舉  |  `ERROR`, `ALL`, `INFO`, `DEBUG`  |  `No default value`  | 

此控制項會檢查 AWS AppSync API 是否已開啟欄位層級記錄。如果欄位解析程式日誌層級設定為**無**，則控制項會失敗。除非您提供自訂參數值來指出應該啟用特定日誌類型，否則如果欄位解析程式日誌層級為 `ERROR`或 ，Security Hub CSPM 會產生傳遞的問題清單`ALL`。

您可以使用記錄和指標來識別、故障診斷和最佳化您的 GraphQL 查詢。開啟 for AWS AppSync GraphQL 的記錄可協助您取得 API 請求和回應的詳細資訊、識別和回應問題，以及遵守法規要求。

### 修補
<a name="appsync-2-remediation"></a>

若要開啟 的記錄 AWS AppSync，請參閱《 *AWS AppSync 開發人員指南*》中的[設定和組態](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html#setup-and-configuration)。

## 【AppSync.4] AWS AppSync GraphQL APIs應加上標籤
<a name="appsync-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AppSync::GraphQLApi`

**AWS Config rule：**`tagged-appsync-graphqlapi`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS AppSync GraphQL API 是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 GraphQL API 沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果 GraphQL API 未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="appsync-4-remediation"></a>

若要將標籤新增至 AWS AppSync GraphQL API，請參閱《 *AWS AppSync API 參考*[https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/appsync/latest/APIReference/API_TagResource.html)》中的 。

## 【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證
<a name="appsync-5"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**高

**資源類型：** `AWS::AppSync::GraphQLApi`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-authorization-check.html)

**排程類型：**已觸發變更

**參數：**
+ `AllowedAuthorizationTypes`：` AWS_LAMBDA, AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS`（不可自訂）

此控制項會檢查您的應用程式是否使用 API 金鑰與 AWS AppSync GraphQL API 互動。如果使用 API 金鑰驗證 AWS AppSync GraphQL API，則控制項會失敗。

API 金鑰是應用程式中的硬式編碼值，會在您建立未經驗證的 GraphQL 端點時由 AWS AppSync 服務產生。如果此 API 金鑰遭到入侵，您的端點容易受到意外存取的影響。除非您支援可公開存取的應用程式或網站，否則我們不建議使用 API 金鑰進行身分驗證。

### 修補
<a name="appsync-5-remediation"></a>

若要為您的 AWS AppSync GraphQL API 設定授權選項，請參閱《 *AWS AppSync 開發人員指南*》中的[授權和身分驗證](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html)。

## 【AppSync.6] AWS AppSync API 快取應在傳輸中加密
<a name="appsync-6"></a>

**重要**  
Security Hub CSPM 已於 2026 年 3 月 9 日淘汰此控制項。如需詳細資訊，請參閱 [Security Hub CSPM 控制項的變更日誌](controls-change-log.md). AWS AppSync now 為所有目前和未來的 API 快取提供預設加密。

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::AppSync::ApiCache`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/appsync-cache-ct-encryption-in-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS AppSync API 快取是否在傳輸中加密。如果 API 快取未在傳輸中加密，則控制項會失敗。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如叢集中的節點之間，或叢集與您的應用程式之間。資料可能會在網際網路或私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。

### 修補
<a name="appsync-6-remediation"></a>

您無法在啟用 AWS AppSync API 的快取之後變更加密設定。反之，您必須刪除快取，並在啟用加密的情況下重新建立快取。如需詳細資訊，請參閱《 *AWS AppSync 開發人員指南*》中的[快取加密](https://docs.aws.amazon.com/appsync/latest/devguide/enabling-caching.html#caching-encryption)。

# Amazon Athena 的 Security Hub CSPM 控制項
<a name="athena-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Athena 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Athena.1】 Athena 工作群組應靜態加密
<a name="athena-1"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**類別：**保護 ‒ 資料保護 ‒ 靜態資料加密

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**嚴重性：**中

**資源類型：** `AWS::Athena::WorkGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Athena 工作群組是否靜態加密。如果 Athena 工作群組未靜態加密，則控制項會失敗。

在 Athena 中，您可以建立工作群組，以執行團隊、應用程式或不同工作負載的查詢。每個工作群組都有一個設定，可在所有查詢上啟用加密。您可以選擇搭配 Amazon Simple Storage Service (Amazon S3) 受管金鑰使用伺服器端加密、搭配 AWS Key Management Service (AWS KMS) 金鑰使用伺服器端加密，或搭配客戶受管 KMS 金鑰使用用戶端加密。靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性，降低未經授權的使用者可存取資料的風險。

### 修補
<a name="athena-1-remediation"></a>

若要啟用 Athena 工作群組的靜態加密，請參閱《*Amazon Athena 使用者指南*》中的[編輯工作群組](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)。在**查詢結果組態**區段中，選取**加密查詢結果**。

## 【Athena.2】 應標記 Athena 資料目錄
<a name="athena-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Athena::DataCatalog`

**AWS Config rule：**`tagged-athena-datacatalog`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Athena 資料目錄是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料目錄沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料目錄未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="athena-2-remediation"></a>

若要將標籤新增至 Athena 資料目錄，請參閱《*Amazon Athena * [Athena 使用者指南》中的標記 Athena 資源](https://docs.aws.amazon.com/athena/latest/ug/tags.html)。

## 【Athena.3】 應標記 Athena 工作群組
<a name="athena-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Athena::WorkGroup`

**AWS Config rule：**`tagged-athena-workgroup`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Athena 工作群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果工作群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果工作群組未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="athena-3-remediation"></a>

若要將標籤新增至 Athena 工作群組，請參閱《*Amazon Athena 使用者指南*》中的[在個別工作群組上新增和刪除標籤](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete)。

## 【Athena.4】 Athena 工作群組應該已啟用記錄
<a name="athena-4"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Athena::WorkGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Athena 工作群組是否已啟用記錄。如果工作群組未啟用記錄，則控制項會失敗。

稽核日誌會追蹤和監控系統活動。它們提供事件的記錄，可協助您偵測安全漏洞、調查事件並遵守法規。稽核日誌也會增強組織的整體責任和透明度。

### 修補
<a name="athena-4-remediation"></a>

如需有關啟用 Athena 工作群組記錄的資訊，請參閱《*Amazon Athena 使用者指南》中的在 Athena *[中啟用 CloudWatch 查詢指標](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html)。

# 的 Security Hub CSPM 控制項 AWS Backup
<a name="backup-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS Backup 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Backup.1】 AWS Backup 復原點應靜態加密
<a name="backup-1"></a>

**相關需求：**NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::Backup::RecoveryPoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS Backup 復原點是否靜態加密。如果復原點未靜態加密，則控制項會失敗。

 AWS Backup 復原點是指在備份程序中建立的特定資料複本或快照。它代表資料備份並做為還原點的特定時間點，以防原始資料遺失、損毀或無法存取。加密備份復原點可多加一層保護，防止未經授權的存取。加密是保護備份資料的機密性、完整性和安全性的最佳實務。

### 修補
<a name="backup-1-remediation"></a>

若要加密 AWS Backup 復原點，請參閱《 *AWS Backup 開發人員指南*》中的 [中的備份加密 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)。

## 【Backup.2】 AWS Backup 復原點應加上標籤
<a name="backup-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Backup::RecoveryPoint`

**AWS Config rule：**`tagged-backup-recoverypoint`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Backup 復原點是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果復原點沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果復原點未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="backup-2-remediation"></a>

**將標籤新增至 AWS Backup 復原點**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇 **Backup plans (備份計劃)**。

1. 從清單中選擇備份計劃。

1. 在**備份計畫標籤**區段中，選擇**管理標籤**。

1. 輸入標籤的金鑰和值。針對其他鍵/值對選擇**新增標籤**。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

## 【Backup.3】 保存 AWS Backup 庫應加上標籤
<a name="backup-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Backup::BackupVault`

**AWS Config rule：**`tagged-backup-backupvault`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Backup 保存庫是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果復原點沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果復原點未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="backup-3-remediation"></a>

**將標籤新增至 AWS Backup 保存庫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇 **Backup vaults (備份文件庫)**。

1. 從清單中選擇備份保存庫。

1. 在**備份保存庫標籤**區段中，選擇**管理標籤**。

1. 輸入標籤的金鑰和值。針對其他鍵/值對選擇**新增標籤**。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

## 【Backup.4】應標記 AWS Backup 報告計劃
<a name="backup-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Backup::ReportPlan`

**AWS Config rule：**`tagged-backup-reportplan`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Backup 報告計劃是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果報告計畫沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果報告計劃未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="backup-4-remediation"></a>

**將標籤新增至 AWS Backup 報告計畫**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇 **Backup vaults (備份文件庫)**。

1. 從清單中選擇備份保存庫。

1. 在**備份保存庫標籤**區段中，選擇**管理標籤**。

1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

## 【Backup.5】 AWS Backup 備份計劃應加上標籤
<a name="backup-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Backup::BackupPlan`

**AWS Config rule：**`tagged-backup-backupplan`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Backup 備份計劃是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果備份計劃沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果備份計劃未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="backup-5-remediation"></a>

**將標籤新增至 AWS Backup 備份計劃**

1. 在 https：//[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。

1. 在導覽窗格中，選擇 **Backup vaults (備份文件庫)**。

1. 從清單中選擇備份保存庫。

1. 在**備份保存庫標籤**區段中，選擇**管理標籤**。

1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

# 的 Security Hub CSPM 控制項 AWS Batch
<a name="batch-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS Batch 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Batch.1】 批次任務佇列應加上標籤
<a name="batch-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Batch::JobQueue`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-job-queue-tagged.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Batch 任務佇列是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果任務佇列沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果任務佇列未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="batch-1-remediation"></a>

若要將標籤新增至批次任務佇列，請參閱*AWS Batch 《 使用者指南*》中的[標記您的資源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

## 【Batch.2】 批次排程政策應加上標籤
<a name="batch-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Batch::SchedulingPolicy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-scheduling-policy-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Batch 排程政策是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果排程政策沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果排程政策未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="batch-2-remediation"></a>

若要將標籤新增至批次排程政策，請參閱*AWS Batch 《 使用者指南*》中的[標記您的 資源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

## 【Batch.3】 批次運算環境應加上標籤
<a name="batch-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Batch::ComputeEnvironment`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-compute-environment-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Batch 運算環境是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果運算環境沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果運算環境未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="batch-3-remediation"></a>

若要將標籤新增至批次運算環境，請參閱*AWS Batch 《 使用者指南*》中的[標記您的資源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

## 【Batch.4】 應標記受管批次運算環境中的運算資源屬性
<a name="batch-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Batch::ComputeEnvironment`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/batch-managed-compute-env-compute-resources-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查受管 AWS Batch 運算環境中的運算資源屬性是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果運算資源屬性沒有任何標籤索引鍵，或它沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果運算資源屬性沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。此控制項不會評估未受管的運算環境，或使用 AWS Fargate 資源的受管環境。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="batch-4-remediation"></a>

如需有關在受管運算環境中新增標籤以 AWS Batch 運算資源的資訊，請參閱*AWS Batch 《 使用者指南*》中的[標記您的資源](https://docs.aws.amazon.com/batch/latest/userguide/tag-resources.html)。

# 的 Security Hub CSPM 控制項 AWS Certificate Manager
<a name="acm-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Certificate Manager (ACM) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約
<a name="acm-1"></a>

**相關要求：**NIST.800-53.r5 SC-28(3)、NIST.800-53.r5 SC-7(16)、NIST.800-171.r2 3.13.15、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ACM::Certificate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html)

**排程類型：**變更已觸發和定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `daysToExpiration`  |  必須續約 ACM 憑證的天數  |  Integer  |  `14` 至 `365`  |  `30`  | 

此控制項會檢查 AWS Certificate Manager (ACM) 憑證是否在指定的期間內續約。它會檢查匯入的憑證和 ACM 提供的憑證。如果未在指定的期間內續約憑證，則控制項會失敗。除非您提供續約期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 30 天。

ACM 可以自動續約使用 DNS 驗證的憑證。對於使用電子郵件驗證的憑證，您必須回應網域驗證電子郵件。ACM 不會自動續約您匯入的憑證。您必須手動更新匯入的憑證。

### 修補
<a name="acm-1-remediation"></a>

ACM 為 Amazon 發行的 SSL/TLS 憑證提供受管續約。這表示 ACM 會自動續約您的憑證 （如果您使用 DNS 驗證），或在憑證過期接近時傳送電子郵件通知給您。這些服務可供公有和私有 ACM 憑證使用。

**對於透過電子郵件驗證的網域**  
當憑證過期後 45 天，ACM 會為每個網域名稱傳送電子郵件給網域擁有者。若要驗證網域並完成續約，您必須回應電子郵件通知。  
如需詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的[透過電子郵件驗證的網域續約](https://docs.aws.amazon.com/acm/latest/userguide/email-renewal-validation.html)。

**對於 DNS 驗證的網域**  
ACM 會自動續約使用 DNS 驗證的憑證。在過期前 60 天，ACM 會驗證憑證是否可以續約。  
如果無法驗證網域名稱，則 ACM 會傳送通知，告知需要手動驗證。它會在過期前 45 天、30 天、7 天和 1 天傳送這些通知。  
如需詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的 [DNS 驗證的網域續約](https://docs.aws.amazon.com/acm/latest/userguide/dns-renewal-validation.html)。

## 【ACM.2】 由 ACM 管理的 RSA 憑證應使用至少 2，048 位元的金鑰長度
<a name="acm-2"></a>

**相關要求：**PCI DSS v4.0.1/4.2.1

**類別：**識別 > 庫存 > 庫存服務

**嚴重性：**高

**資源類型：** `AWS::ACM::Certificate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-rsa-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查由 管理的 RSA 憑證是否 AWS Certificate Manager 使用至少 2，048 位元的金鑰長度。如果金鑰長度小於 2，048 位元，則控制項會失敗。

加密強度與金鑰大小直接相關。我們建議您使用至少 2，048 位元的金鑰長度來保護您的 AWS 資源，因為運算能力變得較不昂貴，且伺服器變得更先進。

### 修補
<a name="acm-2-remediation"></a>

ACM 發行之 RSA 憑證的金鑰長度下限已經是 2，048 位元。如需使用 ACM 發行新 RSA 憑證的說明，請參閱*AWS Certificate Manager 《 使用者指南*》中的[發行和管理憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。

雖然 ACM 可讓您匯入金鑰長度較短的憑證，但您必須使用至少 2，048 位元的金鑰才能傳遞此控制項。您無法在匯入憑證後變更金鑰長度。相反地，您必須刪除金鑰長度小於 2，048 位元的憑證。如需將憑證匯入 ACM 的詳細資訊，請參閱*AWS Certificate Manager 《 使用者指南*》中的[匯入憑證的先決條件](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html)。

## 【ACM.3】 ACM 憑證應加上標籤
<a name="acm-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ACM::Certificate`

**AWS Config rule：**`tagged-acm-certificate`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Certificate Manager (ACM) 憑證是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果憑證沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果憑證未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="acm-3-remediation"></a>

若要將標籤新增至 ACM 憑證，請參閱*AWS Certificate Manager 《 使用者指南*》中的[標記 AWS Certificate Manager 憑證](https://docs.aws.amazon.com/acm/latest/userguide/tags.html)。

# 的 Security Hub CSPM 控制項 CloudFormation
<a name="cloudformation-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS CloudFormation 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CloudFormation.1] CloudFormation 堆疊應與 Simple Notification Service (SNS) 整合
<a name="cloudformation-1"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關需求：**NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)

**類別：**偵測 > 偵測服務 > 應用程式監控

**嚴重性：**低

**資源類型：** `AWS::CloudFormation::Stack`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-notification-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Simple Notification Service 通知是否與 CloudFormation 堆疊整合。如果沒有 SNS 通知與其相關聯，則 CloudFormation 堆疊的控制項會失敗。

使用 CloudFormation 堆疊設定 SNS 通知有助於在堆疊發生任何事件或變更時，立即通知利益相關者。

### 修補
<a name="cloudformation-1-remediation"></a>

若要整合 CloudFormation 堆疊和 SNS 主題，請參閱*AWS CloudFormation 《 使用者指南*》中的[直接更新堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html)。

## 【CloudFormation.2] 應標記 CloudFormation 堆疊
<a name="cloudformation-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CloudFormation::Stack`

**AWS Config rule：**`tagged-cloudformation-stack`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS CloudFormation 堆疊是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果堆疊沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果堆疊未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="cloudformation-2-remediation"></a>

若要將標籤新增至 CloudFormation 堆疊，請參閱 *AWS CloudFormation API 參考*中的 [CreateStack](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_CreateStack.html)。

## 【CloudFormation.3] CloudFormation 堆疊應啟用終止保護
<a name="cloudformation-3"></a>

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**中

**資源類型：** `AWS::CloudFormation::Stack`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-termination-protection-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS CloudFormation 堆疊是否已啟用終止保護。如果 CloudFormation 堆疊上未啟用終止保護，則控制項會失敗。

CloudFormation 有助於以稱為 Stack 的單一單位來管理相關資源。您可以在堆疊上啟用終止保護來防止堆疊遭意外刪除。如果使用者嘗試刪除啟用終止保護的堆疊，則刪除會失敗，且堆疊及其狀態保持不變。除了 `DELETE_IN_PROGRESS` 或 `DELETE_COMPLETE` 以外，您可以為處於任何狀態的堆疊設定終止保護。

**注意**  
在堆疊上啟用或停用終止保護的同時，也將對屬於該堆疊的任何巢狀堆疊套用相同選擇。您無法直接在巢狀堆疊上啟用或停用終止保護。您無法直接刪除屬於已啟用終止保護之堆疊的巢狀堆疊。如果堆疊名稱旁顯示 NESTED (巢狀)，則該堆疊為巢狀堆疊。您只能在該巢狀堆疊所屬的根堆疊上啟用終止保護。

### 修補
<a name="cloudformation-3-remediation"></a>

若要在 CloudFormation 堆疊上啟用終止保護，請參閱*AWS CloudFormation 《 使用者指南*》中的[保護 CloudFormation 堆疊不會被刪除](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-protect-stacks.html)。

## 【CloudFormation.4] CloudFormation 堆疊應具有相關聯的服務角色
<a name="cloudformation-4"></a>

**類別：**偵測 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::CloudFormation::Stack`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-service-role-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 AWS CloudFormation 堆疊是否具有與其相關聯的服務角色。如果沒有與 CloudFormation 堆疊相關聯的服務角色，則控制項會失敗。

服務受管 StackSets 透過 AWS Organizations 受信任的存取整合使用執行角色。控制項也會為服務受管 StackSets 建立的 AWS CloudFormation 堆疊產生 FAILED 調查結果，因為沒有與其相關聯的服務角色。由於服務受管 StackSets 驗證的方式，無法為這些堆疊填入 `roleARN` 欄位。

搭配 CloudFormation 堆疊使用服務角色有助於實作最低權限存取，方法是將建立/更新堆疊的使用者與 CloudFormation 建立/更新資源所需的許可分開。這可降低權限提升的風險，並有助於在不同操作角色之間維持安全界限。

**注意**  
建立堆疊後，就無法移除連接至堆疊的服務角色。其他具有在此堆疊上執行這些操作之許可的使用者，都能夠使用此角色，不論這些使用者是否有有 `iam:PassRole` 許可。如果該角色包含使用者不該有的許可，您可能在無意中提升使用者的許可。確定該角色授予最低權限。

### 修補
<a name="cloudformation-4-remediation"></a>

若要將服務角色與 CloudFormation 堆疊建立關聯，請參閱*AWS CloudFormation 《 使用者指南*》中的 [CloudFormation 服務角色](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html)。

# Amazon CloudFront 的 Security Hub CSPM 控制項
<a name="cloudfront-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon CloudFront 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CloudFront.1] CloudFront 分佈應設定預設根物件
<a name="cloudfront-1"></a>

**相關要求：**NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、PCI DSS v4.0.1/2.2.6

**類別：**保護 > 安全存取管理 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查具有 S3 原始伺服器的 Amazon CloudFront 分佈是否設定為傳回預設根物件的特定物件。如果 CloudFront 分佈使用 S3 原始伺服器且未設定預設根物件，則控制項會失敗。此控制項不適用於使用自訂原始伺服器的 CloudFront 分佈。

使用者有時可能會請求分佈的根 URL，而不是分佈中的物件。發生這種情況時，指定預設根物件可協助避免暴露 Web 分佈的內容。

### 修補
<a name="cloudfront-1-remediation"></a>

若要設定 CloudFront 分佈的預設根物件，請參閱《*Amazon CloudFront 開發人員指南*》中的[如何指定預設根物件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine)。

## 【CloudFront.3] CloudFront 分佈應要求傳輸中加密
<a name="cloudfront-3"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.NIST.800-53.r5 SC-85.r5 SI-7

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html)

**排程類型：**已觸發變更

**參數：**無

此控制可檢查 Amazon CloudFront 分佈是否要求檢視者直接使用 HTTPS，或其是否使用重新導向。如果 `ViewerProtocolPolicy` 設為`allow-all`適用於 `defaultCacheBehavior`或適用於 的 ，則控制項會失敗`cacheBehaviors`。

HTTPS (TLS) 可用來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。加密傳輸中的資料可能會影響效能。您應該使用此功能測試應用程式，以了解效能描述檔和 TLS 的影響。

### 修補
<a name="cloudfront-3-remediation"></a>

若要加密傳輸中的 CloudFront 分佈，請參閱《Amazon CloudFront 開發人員指南》中的[檢視器與 CloudFront 之間的通訊需要 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html)。 *Amazon CloudFront *

## 【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉
<a name="cloudfront-4"></a>

**相關需求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**低

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon CloudFront 分佈是否設定為具有兩個或多個原始伺服器的原始伺服器群組。

CloudFront 原始伺服器容錯移轉可以提高可用性。如果主要原始伺服器無法使用或傳回特定 HTTP 回應狀態碼，原始伺服器容錯移轉會自動將流量重新導向至次要原始伺服器。

### 修補
<a name="cloudfront-4-remediation"></a>

若要設定 CloudFront 分佈的原始伺服器容錯移轉，請參閱《*Amazon CloudFront 開發人員指南*》中的[建立原始伺服器群組](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating)。

## 【CloudFront.5] CloudFront 分佈應該已啟用記錄
<a name="cloudfront-5"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制可檢查是否已在 CloudFront 分佈上啟用伺服器存取日誌記錄。如果未針對分佈啟用存取日誌記錄，則此控制會失敗。此控制項只會評估分佈是否啟用標準記錄 （舊版）。

CloudFront 存取日誌可提供 CloudFront 所收到的每個使用者請求的詳細資訊。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源，以及檢視者提出請求的連接埠號碼等資訊。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。如需分析存取日誌的詳細資訊，請參閱[《Amazon Athena 使用者指南》中的查詢 Amazon CloudFront 日誌](https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html)。 *Amazon Athena *

### 修補
<a name="cloudfront-5-remediation"></a>

若要設定 CloudFront 分佈的標準記錄 （舊版），請參閱《*Amazon CloudFront 開發人員指南*》中的[設定標準記錄 （舊版）](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/standard-logging-legacy-s3.html)。

## 【CloudFront.6] CloudFront 分佈應該啟用 WAF
<a name="cloudfront-6"></a>

**相關要求：**NIST.800-53.r5 AC-4(21)、PCI DSS v4.0.1/6.4.2

**類別：**保護 > 保護服務

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 CloudFront 分佈是否與 AWS WAF Classic 或 AWS WAF Web ACLs相關聯。如果分佈未與 Web ACL 相關聯，則控制項會失敗。

AWS WAF 是一種 Web 應用程式防火牆，可協助保護 Web 應用程式和 APIs免受攻擊。其可讓您設定一組稱為 Web 存取控制清單 (Web ACL) 的規則，該組規則可根據您定義的可自訂 Web 安全規則與條件來允許、封鎖或計數 Web 請求。確保您的 CloudFront 分佈與 AWS WAF Web ACL 相關聯，以協助保護它免受惡意攻擊。

### 修補
<a name="cloudfront-6-remediation"></a>

若要將 AWS WAF Web ACL 與 CloudFront 分佈建立關聯，請參閱《*Amazon CloudFront 開發人員指南*》中的[使用 AWS WAF 控制對內容的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html)。

## 【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證
<a name="cloudfront-7"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.NIST.800-53.r5 SC-855.r5 NIST.800-53.r5 SC-8 SI-7 3.13.15

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**低

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-custom-ssl-certificate.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 CloudFront 分佈是否使用 CloudFront 提供的預設 SSL/TLS 憑證。如果 CloudFront 分佈使用自訂 SSL/TLS 憑證，則此控制項會通過。如果 CloudFront 分佈使用預設 SSL/TLS 憑證，則此控制項會失敗。

 自訂 SSL/TLS 可讓您的使用者使用替代網域名稱存取內容。您可以將自訂憑證存放在 AWS Certificate Manager （建議） 或 IAM 中。

### 修補
<a name="cloudfront-7-remediation"></a>

若要使用自訂 SSL/TLS 憑證為 CloudFront 分佈新增替代網域名稱，請參閱《*Amazon CloudFront 開發人員指南*》中的[新增替代網域名稱](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/CNAMEs.html#CreatingCNAME)。

## 【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求
<a name="cloudfront-8"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**低

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-sni-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon CloudFront 分佈是否使用自訂 SSL/TLS 憑證，並設定為使用 SNI 來提供 HTTPS 請求。如果自訂 SSL/TLS 憑證相關聯，但 SSL/TLS 支援方法是專用 IP 地址，則此控制會失敗。

伺服器名稱指示 (SNI) 是 TLS 通訊協定的延伸，2010 年之後推出的瀏覽器和用戶端支援此選項。如果設定 CloudFront 使用 SNI 來提供 HTTPS 請求，則 CloudFront 會將您的替代網域名稱，與每個節點中的 IP 位址建立關聯。當檢視器提交內容的 HTTPS 請求時，DNS 會將請求路由到正確節點的 IP 位址。您網域名稱的 IP 位址在 SSL/TLS 交握溝通期間決定；IP 位址並非專用於您的分佈。

### 修補
<a name="cloudfront-8-remediation"></a>

若要設定 CloudFront 分佈以使用 SNI 提供 HTTPS 請求，請參閱CloudFront 開發人員指南》中的[使用 SNI 提供 HTTPS 請求 （適用於大多數用戶端）](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-https-dedicated-ip-or-sni.html#cnames-https-sni)。如需自訂 SSL 憑證的相關資訊，請參閱[搭配 CloudFront 使用 SSL/TLS 憑證的要求](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html)。

## 【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器
<a name="cloudfront-9"></a>

**相關需求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.800NIST.800-53.r5 SC-855.r5 SI-7

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-traffic-to-origin-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon CloudFront 分佈是否正在加密流向自訂原始伺服器的流量。此控制項對於原始伺服器通訊協定政策允許 'http-only' 的 CloudFront 分佈失敗。如果分佈的原始通訊協定政策為 'match-viewer'，而檢視器通訊協定政策為 'allow-all'，則此控制項也會失敗。

HTTPS (TLS) 可用來協助防止竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。

### 修補
<a name="cloudfront-9-remediation"></a>

若要更新原始伺服器通訊協定政策以要求 CloudFront 連線加密，請參閱《*Amazon CloudFront 開發人員指南*》中的[在 CloudFront 與自訂原始伺服器之間通訊需要 HTTPS](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)。

## 【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定
<a name="cloudfront-10"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8SI-7(2)、NIST.50505.5 3.13.15

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-no-deprecated-ssl-protocols.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon CloudFront 分佈是否使用已棄用的 SSL 通訊協定，以便在 CloudFront 節點和自訂原始伺服器之間進行 HTTPS 通訊。如果 CloudFront 分佈的 `OriginSslProtocols`包含 `CustomOriginConfig`，則此控制項會失敗`SSLv3`。

在 2015 年，網際網路工程任務小組 (IETF) 正式宣布，由於通訊協定不夠安全，SSL 3.0 應予以棄用。建議您將 TLSv1.2 或更新版本用於與自訂原始伺服器的 HTTPS 通訊。

### 修補
<a name="cloudfront-10-remediation"></a>

若要更新 CloudFront 分佈的原始伺服器 SSL 通訊協定，請參閱《*Amazon CloudFront 開發人員指南*》中的[需要 HTTPS 才能在 CloudFront 與自訂原始伺服器之間進行通訊](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html)。

## 【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器
<a name="cloudfront-12"></a>

**相關要求：**NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、PCI DSS v4.0.1/2.2.6

**類別：**識別 > 資源組態

**嚴重性：**高

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-non-existent-bucket.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon CloudFront 分佈是否指向不存在的 Amazon S3 原始伺服器。如果原始伺服器設定為指向不存在的儲存貯體，則 CloudFront 分佈的控制項會失敗。此控制僅適用於沒有靜態網站託管的 S3 儲存貯體是 S3 原始伺服器的 CloudFront 分發。

當您帳戶中的 CloudFront 分佈設定為指向不存在的儲存貯體時，惡意的第三方可以建立參考的儲存貯體，並透過您的分佈提供自己的內容。建議您檢查所有原始伺服器，無論路由行為為何，以確保您的分佈指向適當的原始伺服器。

### 修補
<a name="cloudfront-12-remediation"></a>

若要修改 CloudFront 分佈以指向新的原始伺服器，請參閱《*Amazon CloudFront 開發人員指南*》中的[更新分佈](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html)。

## 【CloudFront.13] CloudFront 分佈應使用原始存取控制
<a name="cloudfront-13"></a>

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-s3-origin-access-control-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查具有 Amazon S3 原始伺服器的 Amazon CloudFront 分佈是否已設定原始存取控制 (OAC)。 Amazon S3 如果 CloudFront 分佈未設定 OAC，則控制項會失敗。

使用 S3 儲存貯體做為 CloudFront 分佈的原始伺服器時，您可以啟用 OAC。這僅允許透過指定的 CloudFront 分佈存取儲存貯體中的內容，並禁止直接從儲存貯體或其他分佈存取。雖然 CloudFront 支援原始存取身分 (OAI)，但 OAC 提供額外的功能，而使用 OAI 的分佈可以遷移到 OAC。雖然 OAI 提供安全的方式來存取 S3 原始伺服器，但它有限制，例如缺少對精細政策組態的支援，以及對於在 中使用 POST 方法 AWS 區域 且需要 AWS 簽章版本 4 (SigV4) 的 HTTP/HTTPS 請求。OAI 也不支援使用 加密 AWS Key Management Service。OAC 是以使用 IAM 服務主體向 S3 原始伺服器進行身分驗證的 AWS 最佳實務為基礎。

### 修補
<a name="cloudfront-13-remediation"></a>

若要為具有 S3 原始伺服器的 CloudFront 分佈設定 OAC，請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *

## 【CloudFront.14] 應標記 CloudFront 分佈
<a name="cloudfront-14"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config rule：**`tagged-cloudfront-distribution`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon CloudFront 分佈是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果分佈沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果分佈未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="cloudfront-14-remediation"></a>

若要將標籤新增至 CloudFront 分佈，請參閱《[Amazon CloudFront 開發人員指南》中的標記 Amazon CloudFront 分佈](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/tagging.html)。 *Amazon CloudFront *

## 【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策
<a name="cloudfront-15"></a>

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-ssl-policy-check.html)

**排程類型：**已觸發變更

**參數：**`securityPolicies`： `TLSv1.2_2021,TLSv1.2_2025,TLSv1.3_2025`（不可自訂）

此控制項會檢查 Amazon CloudFront 分佈是否設定為使用建議的 TLS 安全政策。如果 CloudFront 分佈未設定為使用建議的 TLS 安全政策，則控制項會失敗。

如果您將 Amazon CloudFront 分佈設定為要求檢視器使用 HTTPS 存取內容，則必須選擇安全政策並指定要使用的最低 SSL/TLS 通訊協定版本。這會決定 CloudFront 用來與瀏覽者通訊的通訊協定版本，以及 CloudFront 用來加密通訊的密碼。我們建議您使用 CloudFront 提供的最新安全政策。這可確保 CloudFront 使用最新的密碼套件來加密檢視器和 CloudFront 分佈之間的傳輸中資料。

**注意**  
此控制項只會針對設定為使用自訂 SSL 憑證且未設定為支援舊版用戶端的 CloudFront 分佈產生調查結果。

### 修補
<a name="cloudfront-15-remediation"></a>

如需有關為 CloudFront 分佈設定安全政策的資訊，請參閱《*Amazon CloudFront 開發人員指南*》中的[更新分佈](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HowToUpdateDistribution.html)。當您設定分佈的安全政策時，請選擇最新的安全政策。

## 【CloudFront.16] CloudFront 分佈應使用 Lambda 函數 URL 原始伺服器的原始存取控制
<a name="cloudfront-16"></a>

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-lambda-url-oac-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查以 AWS Lambda 函數 URL 做為原始伺服器的 Amazon CloudFront 分佈是否已啟用原始存取控制 (OAC)。如果 CloudFront 分佈具有 Lambda 函數 URL 作為原始伺服器且未啟用 OAC，則控制項會失敗。

 AWS Lambda 函數 URL 是 Lambda 函數的專用 HTTPS 端點。如果 Lambda 函數 URL 是 CloudFront 分佈的原始伺服器，則函數 URL 必須可公開存取。因此，作為安全最佳實務，您應該建立 OAC，並將其新增至分佈中的 Lambda 函數 URL。OAC 使用 IAM 服務主體來驗證 CloudFront 與函數 URL 之間的請求。它還支援使用資源型政策，只有在請求代表政策中指定的 CloudFront 分佈時，才允許叫用函數。

### 修補
<a name="cloudfront-16-remediation"></a>

如需有關為使用 Lambda 函數 URL 做為原始伺服器的 Amazon CloudFront 分佈設定 OAC 的資訊，請參閱《*Amazon CloudFront 開發人員指南*》中的[限制對 AWS Lambda 函數 URL 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-lambda.html)。

## 【CloudFront.17] CloudFront 分佈應針對簽章URLs 和 Cookie 使用信任的金鑰群組
<a name="cloudfront-17"></a>

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：** `AWS::CloudFront::Distribution`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-distribution-key-group-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon CloudFront 分佈是否設定為使用信任的金鑰群組進行簽章的 URL 或簽章的 Cookie 驗證。如果 CloudFront 分佈使用信任簽署者，或分佈未設定身分驗證，則控制項會失敗。

若要使用已簽署 URL 或已簽署 Cookie，您需要 *簽署者*。簽署者是您在 CloudFront 中建立的受信任金鑰群組，或是包含 CloudFront 金鑰對 AWS 的帳戶。我們建議您使用信任的金鑰群組，因為使用 CloudFront 金鑰群組時，您不需要使用 AWS 帳戶根使用者來管理 CloudFront 簽章 URLs公有金鑰。

**注意**  
此控制項不會評估多租戶 CloudFront 分佈 `(connectionMode=tenant-only)`。

### 修補
<a name="cloudfront-17-remediation"></a>

如需搭配簽章 URLs 和 Cookie 使用受信任金鑰群組的詳細資訊，請參閱《*Amazon CloudFront 開發人員指南*》中的[使用受信任金鑰群組](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html)。

# 的 Security Hub CSPM 控制項 AWS CloudTrail
<a name="cloudtrail-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS CloudTrail 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤
<a name="cloudtrail-1"></a>

**相關要求：** CIS AWS Foundations Benchmark 5.0.0/3.1 版， CIS AWS Foundations Benchmark 1.2.0/2.1 版， CIS AWS Foundations Benchmark 1.4.0/3.1 版， CIS AWS Foundations Benchmark 3.0.0/3.1 版， NIST.800-53.r5 AC-2(4)， NIST.800-53.r5 AC-4(26)， NIST.800-53.r5 AC-6(9)， NIST.800-53.r5 AU-10， NIST.800-53.r5 AU-12， NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(3)， NIST.800-53.r5 AU-6(4)， NIST.800-53.r5 AU-14(1)， NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)， NIST.800-53.r5 SI-3(8)， NIST.800-53.r5 SI-4(20)， NIST.800-53.r5 SI-7(8)， NIST.800-53.r5 SA-8(22)

**類別：**識別 > 記錄日誌

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html)

**排程類型：**定期

**參數：**
+ `readWriteType`：`ALL`（不可自訂）

  `includeManagementEvents`：`true`（不可自訂）

此控制項會檢查是否有至少一個擷取讀取和寫入管理事件的多區域 AWS CloudTrail 線索。如果 CloudTrail 已停用，或沒有至少一個 CloudTrail 追蹤可擷取讀取和寫入管理事件，則控制項會失敗。

AWS CloudTrail 會記錄您帳戶的 AWS API 呼叫，並將日誌檔案交付給您。記錄的資訊包括下列資訊：
+ API 發起人的身分
+ API 呼叫的時間
+ API 發起人的來源 IP 地址
+ 請求參數
+ 傳回的回應元素 AWS 服務

CloudTrail 提供帳戶的 AWS API 呼叫歷史記錄，包括從 AWS 管理主控台、 AWS SDKs、命令列工具發出的 API 呼叫。歷史記錄也包含來自更高層級的 API 呼叫， AWS 服務 例如 AWS CloudFormation。

CloudTrail 產生的 AWS API 呼叫歷史記錄可啟用安全性分析、資源變更追蹤和合規稽核。多區域線索也提供了下列優勢。
+ 多區域線索可協助偵測在未使用區域中發生的未預期活動。
+ 多區域線索可確保根據預設，為線索啟用全域服務記錄日誌。全域服務事件記錄會記錄 AWS 全域服務所產生的事件。
+ 對於多區域追蹤，所有讀取和寫入操作的管理事件可確保 CloudTrail 記錄 中所有資源的管理操作 AWS 帳戶。

根據預設，使用 建立的 CloudTrail 追蹤 AWS 管理主控台 是多區域追蹤。

### 修補
<a name="cloudtrail-1-remediation"></a>

若要在 CloudTrail 中建立新的多區域追蹤，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。使用下列的值：


| 欄位 | Value | 
| --- | --- | 
|  其他設定、日誌檔案驗證  |  已啟用  | 
|  選擇日誌事件、管理事件、API 活動  |  **讀取**和**寫入**。清除排除項目的核取方塊。  | 

若要更新現有的線索，請參閱*AWS CloudTrail 《 使用者指南*》中的[更新線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html)。在**管理事件**中，針對 **API 活動**，選擇**讀取**和**寫入**。

## [CloudTrail.2] CloudTrail 應啟用靜態加密
<a name="cloudtrail-2"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.5、CIS AWS Foundations Benchmark v1.2.0/2.7、CIS AWS Foundations Benchmark v1.4.0/3.7、CIS AWS Foundations Benchmark v3.0.0/3.5、NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28(1)SC-28、NIST.800-53.r5 SC-7 SI-710.3.2

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::CloudTrail::Trail`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 CloudTrail 是否設定為使用伺服器端加密 (SSE) AWS KMS key 加密。如果`KmsKeyId`未定義 ，則控制項會失敗。

為了為您的敏感 CloudTrail 日誌檔案增加一層安全性，您應該使用[伺服器端加密搭配 AWS KMS keys (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) 用於 CloudTrail 日誌檔案，以進行靜態加密。請注意，CloudTrail 交付至您儲存貯體的日誌檔案預設為使用 [Amazon S3-managed加密金鑰 (SSE-S3) 進行 Amazon 伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。

### 修補
<a name="cloudtrail-2-remediation"></a>

若要啟用 CloudTrail 日誌檔案的 SSE-KMS 加密，請參閱*AWS CloudTrail 《 使用者指南*》中的[更新線索以使用 KMS 金鑰](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail-update-trail.html#kms-key-policy-update-trail)。

## 【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤
<a name="cloudtrail-3"></a>

**相關要求：**NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/10.1、PCI DSS v3.2.1/10.2.1、PCI DSS v3.2.1/10.2.2、PCI DSS v3.2.1/10.2.3、PCI DSS v3.2.1/10.2.4、PCI DSS v3.2.1/10.2.510.2.6、PCI DSS v3.2.1/10.2.7、PCI v3.2.1/、PCI v310.3.1.2.1/10.3.2。10.3.310.3.410.3.510.3.610.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 中的 AWS CloudTrail 追蹤是否已啟用 AWS 帳戶。如果您的帳戶未啟用至少一個 CloudTrail 追蹤，則控制項會失敗。

不過，某些 AWS 服務不會啟用所有 APIs和事件的記錄。您應該實作 CloudTrail 以外的任何其他稽核線索，並在 [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)中檢閱每個服務的文件。

### 修補
<a name="cloudtrail-3-remediation"></a>

若要開始使用 CloudTrail 並建立線索，請參閱*AWS CloudTrail 《 使用者指南*》中的[入門 AWS CloudTrail 教學](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html)課程。

## 【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證
<a name="cloudtrail-4"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.2、CIS AWS Foundations Benchmark v1.2.0/2.2、CIS AWS Foundations Benchmark v1.4.0/3.2、CIS AWS Foundations Benchmark v3.0.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-7(1)、NIST.800-53.r5 SI-7(3)、NIST.800-53.r5 SI-7(7)、NIST.800-171.r2 3.3.2 13.2 、PCI.10.5.210.5.510.3.22

**類別：**資料保護 > 資料完整性

**嚴重性：**低

**資源類型：** `AWS::CloudTrail::Trail`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否在 CloudTrail 追蹤上啟用日誌檔案完整性驗證。

CloudTrail 日誌檔案驗證會建立數位簽章的摘要檔案，其中包含 CloudTrail 寫入 Amazon S3 的每個日誌的雜湊。您可以使用這些摘要檔案來判斷在 CloudTrail 交付日誌之後，日誌檔案是否已變更、刪除或保持不變。

Security Hub CSPM 建議您在所有線索上啟用檔案驗證。日誌檔案驗證提供額外的 CloudTrail 日誌完整性檢查。

### 修補
<a name="cloudtrail-4-remediation"></a>

若要啟用 CloudTrail 日誌檔案驗證，請參閱*AWS CloudTrail 《 使用者指南*》中的[啟用 CloudTrail 的日誌檔案完整性驗證](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)。

## 【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合
<a name="cloudtrail-5"></a>

**相關要求：** CIS AWS Foundations Benchmark 5.0.0/3.4 版， PCI DSS 3.2.1/10.5.3 版， CIS AWS Foundations Benchmark 1.2.0/2.4 版， CIS AWS Foundations Benchmark 1.4.0/3.4 版， NIST.800-53.r5 AC-2(4)， NIST.800-53.r5 AC-4(26)， NIST.800-53.r5 AC-6(9)， NIST.800-53.r5 AU-10， NIST.800-53.r5 AU-12， NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(1)， NIST.800-53.r5 AU-6(3)， NIST.800-53.r5 AU-6(4)， NIST.800-53.r5 AU-6(5)， NIST.800-53.r5 AU-7(1)， NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)， NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8)， NIST.800-53.r5 SI-4(20)， NIST.800-53.r5 SI-4(5)， NIST.800-53.r5 SI-7(8)

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::CloudTrail::Trail`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 CloudTrail 追蹤是否設定為將日誌傳送至 CloudWatch Logs。如果線索的 `CloudWatchLogsLogGroupArn` 屬性為空，則控制項會失敗。

CloudTrail 會記錄在特定帳戶中進行的 AWS API 呼叫。記錄的資訊包括下列項目：
+ API 呼叫者的身分
+ API 呼叫的時間
+ API 呼叫者的來源 IP 地址
+ 請求參數
+ 傳回的回應元素 AWS 服務

CloudTrail 使用 Amazon S3 進行日誌檔案儲存和交付。您可以在指定的 S3 儲存貯體中擷取 CloudTrail 日誌以進行長期分析。若要執行即時分析，您可以設定 CloudTrail 將日誌傳送至 CloudWatch Logs。

對於在帳戶的所有區域中啟用的線索，CloudTrail 會將所有這些區域的日誌檔案傳送至 CloudWatch Logs 日誌群組。

Security Hub CSPM 建議您將 CloudTrail 日誌傳送至 CloudWatch Logs。請注意，此建議旨在確保擷取、監控和適當警示帳戶活動。您可以使用 CloudWatch Logs 來設定您的 AWS 服務。此建議不會排除使用不同的解決方案。

將 CloudTrail 日誌傳送至 CloudWatch Logs 可促進根據使用者、API、資源和 IP 地址的即時和歷史活動記錄。您可以使用此方法來建立異常或敏感帳戶活動的警示和通知。

### 修補
<a name="cloudtrail-5-remediation"></a>

若要將 CloudTrail 與 CloudWatch Logs 整合，請參閱*AWS CloudTrail 《 使用者指南*》中的[將事件傳送至 CloudWatch Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html)。

## 【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取
<a name="cloudtrail-6"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/2.3、CIS AWS Foundations Benchmark v1.4.0/3.3、PCI DSS v4.0.1/1.4.4

**類別：**識別 > 記錄日誌

**嚴重性：**嚴重

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期觸發和變更

**參數：**無

CloudTrail 會記錄您帳戶中每次 API 呼叫的記錄。這些日誌檔案會存放在 S3 儲存貯體中。CIS 建議將 S3 儲存貯體政策或存取控制清單 (ACL) 套用至 CloudTrail 記錄的 S3 儲存貯體，以防止公開存取 CloudTrail 日誌。允許公開存取 CloudTrail 日誌內容可能有助於對手識別受影響帳戶的使用或組態中的弱點。

若要執行此檢查，Security Hub CSPM 會先使用自訂邏輯來尋找存放 CloudTrail 日誌的 S3 儲存貯體。然後，它會使用 AWS Config 受管規則來檢查儲存貯體是否可公開存取。

如果您將日誌彙總到單一集中式 S3 儲存貯體，則 Security Hub CSPM 只會針對集中式 S3 儲存貯體所在的帳戶和區域執行檢查。對於其他帳戶和區域，控制狀態為**無資料**。

如果儲存貯體可公開存取，則檢查會產生失敗的問題清單。

### 修補
<a name="cloudtrail-6-remediation"></a>

若要封鎖對 CloudTrail S3 儲存貯體的公開存取，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 S3 儲存貯體的封鎖公開存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。選取所有四個 Amazon S3 封鎖公開存取設定。

## 【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄
<a name="cloudtrail-7"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/2.6、CIS AWS Foundations Benchmark v1.4.0/3.6、CIS AWS Foundations Benchmark v3.0.0/3.4、PCI DSS v4.0.1/10.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**低

**資源類型：** `AWS::S3::Bucket`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

S3 儲存貯體存取記錄會產生日誌，其中包含對 S3 儲存貯體提出的每個請求的存取記錄。存取日誌記錄包含要求的詳細資訊，例如要求類型、要求工作負載中指定的資源，以及要求的處理時間與日期。

CIS 建議您在 CloudTrail S3 儲存貯體上啟用儲存貯體存取記錄。

透過在目標 S3 儲存貯體上啟用 S3 儲存貯體記錄，您可以擷取可能影響目標儲存貯體中物件的所有事件。設定日誌放在單獨的儲存貯體中，可存取日誌資訊，這對安全性和事件反應工作流程極有幫助。

若要執行此檢查，Security Hub CSPM 會先使用自訂邏輯來尋找存放 CloudTrail 日誌的儲存貯體，然後使用 AWS Config 受管規則來檢查記錄是否已啟用。

如果 CloudTrail 將多個 的日誌檔案交付 AWS 帳戶 至單一目的地 Amazon S3 儲存貯體，Security Hub CSPM 只會針對其所在區域中的目的地儲存貯體評估此控制項。這可簡化您的問題清單。不過，您應該在所有將日誌傳送到目的地儲存貯體的帳戶中開啟 CloudTrail。對於保留目的地儲存貯體的所有帳戶，控制狀態為**無資料**。

### 修補
<a name="cloudtrail-7-remediation"></a>

若要啟用 CloudTrail S3 儲存貯體的伺服器存取記錄，請參閱[《Amazon Simple Storage Service 使用者指南》中的啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html#enable-server-logging)。 **

## 【CloudTrail.9] 應標記 CloudTrail 追蹤
<a name="cloudtrail-9"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CloudTrail::Trail`

**AWS Config rule：**`tagged-cloudtrail-trail`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS CloudTrail 追蹤是否具有具有參數 中定義之特定索引鍵的標籤`requiredTagKeys`。如果線索沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果追蹤未標記任何索引鍵，則失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="cloudtrail-9-remediation"></a>

若要將標籤新增至 CloudTrail 追蹤，請參閱 *AWS CloudTrail API 參考*中的 [AddTags](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AddTags.html)。

## 【CloudTrail.10] CloudTrail Lake 事件資料存放區應使用客戶受管加密 AWS KMS keys
<a name="cloudtrail-10"></a>

**相關要求：**NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::CloudTrail::EventDataStore`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/event-data-store-cmk-encryption-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |   AWS KMS keys 要包含在評估中的 Amazon Resource Name (ARNs清單。如果事件資料存放區未在清單中使用 KMS 金鑰加密，則控制項會產生`FAILED`問題清單。  |  StringList （最多 3 個項目）  |  現有 KMS 金鑰的 1–3 ARNs。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  無預設值  | 

此控制項會檢查 AWS CloudTrail Lake 事件資料存放區是否使用客戶受管的靜態加密 AWS KMS key。如果事件資料存放區未使用客戶受管 KMS 金鑰加密，則控制項會失敗。您可以選擇性地為控制項指定要包含在評估中的 KMS 金鑰清單。

根據預設， AWS CloudTrail Lake 會使用 AES-256 演算法，使用 Amazon S3 受管金鑰 (SSE-S3) 加密事件資料存放區。如需其他控制，您可以設定 CloudTrail Lake，改為使用客戶受管 AWS KMS key (SSE-KMS) 加密事件資料存放區。客戶受管 KMS 金鑰是 AWS KMS key 您在 中建立、擁有和管理的 AWS 帳戶。您可以完全控制此類型的 KMS 金鑰。這包括定義和維護金鑰政策、管理授予、輪換密碼編譯材料、指派標籤、建立別名，以及啟用和停用金鑰。您可以在 CloudTrail 資料的密碼編譯操作中使用客戶受管 KMS 金鑰，並使用 CloudTrail 日誌稽核使用情況。

### 修補
<a name="cloudtrail-10-remediation"></a>

如需有關使用您指定的 加密 AWS CloudTrail Lake AWS KMS key 事件資料存放區的資訊，請參閱*AWS CloudTrail 《 使用者指南*》中的[更新事件資料存放區](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)。將事件資料存放區與 KMS 金鑰建立關聯後，您便無法移除或變更 KMS 金鑰。

# Amazon CloudWatch 的 Security Hub CSPM 控制項
<a name="cloudwatch-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon CloudWatch 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者
<a name="cloudwatch-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.1、CIS AWS Foundations Benchmark v1.2.0/3.3、CIS AWS Foundations Benchmark v1.4.0/1.7、CIS AWS Foundations Benchmark v1.4.0/4.3、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/7.2.1

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

根使用者可以不受限制地存取 中的所有 服務和資源 AWS 帳戶。強烈建議您避免將根使用者用於日常任務。將根使用者的使用量降至最低，並採用最低權限原則進行存取管理，可降低意外變更和意外公開高權限憑證的風險。

最佳實務是，只有在需要[執行帳戶和服務管理任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)時，才使用您的根使用者憑證。Apply AWS Identity and Access Management (IAM) 政策直接套用至群組和角色，但不適用於使用者。如需如何設定管理員以供日常使用的教學課程，請參閱《[IAM 使用者指南》中的建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) **

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 1.7 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-1-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示
<a name="cloudwatch-2"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為未經授權的 API 呼叫建立指標篩選條件和警示。監控未經授權的 API 呼叫有助於揭露應用程式錯誤，可能會降低偵測惡意活動的時間。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.2 版中針對控制項 3.1](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-2-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示
<a name="cloudwatch-3"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.2

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您建立不受 MFA 保護的指標篩選條件和警示主控台登入。監控單一因素主控台登入會增加不受 MFA 保護的帳戶可見性。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.2 版中針對控制項 3.2 指定的確切稽核步驟。](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-3-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示
<a name="cloudwatch-4"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.4、CIS AWS Foundations Benchmark v1.4.0/4.4、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

此控制項會檢查您是否即時監控 API 呼叫，方法是將 CloudTrail 日誌導向 CloudWatch Logs，並建立對應的指標篩選條件和警示。

CIS 建議您為 IAM 政策所做的變更建立指標篩選條件和警示。監控這些變更有助於確保身分驗證和授權控制保持不變。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-4-remediation"></a>

**注意**  
我們在這些修復步驟中建議的篩選條件模式與 CIS 指引中的篩選條件模式不同。我們建議的篩選條件僅針對來自 IAM API 呼叫的事件。

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示
<a name="cloudwatch-5"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.5、CIS AWS Foundations Benchmark v1.4.0/4.5、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為 CloudTrail 組態設定的變更建立指標篩選條件和警示。監控這些變更有助於確保帳戶活動的持續可見性。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.5 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-5-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示
<a name="cloudwatch-6"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.6、CIS AWS Foundations Benchmark v1.4.0/4.6、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為失敗的主控台身分驗證嘗試建立指標篩選條件和警示。監控失敗的主控台登入可能會降低偵測嘗試暴力破解登入資料的前置時間，這可能會提供可用於其他事件相互關聯的指標，例如來源 IP。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.6 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-6-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰
<a name="cloudwatch-7"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.7、CIS AWS Foundations Benchmark v1.4.0/4.7、NIST.800-171.r2 3.13.10、NIST.800-171.r2 3.13.16、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為狀態已變更為已停用或排程刪除的客戶受管金鑰建立指標篩選條件和警示。無法繼續存取使用已停用或已刪除金鑰加密的資料。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.7 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。如果 `ExcludeManagementEventSources`包含 ，則控制項也會失敗`kms.amazonaws.com`。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-7-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示
<a name="cloudwatch-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.8、CIS AWS Foundations Benchmark v1.4.0/4.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為 S3 儲存貯體政策的變更建立指標篩選條件和警示。監控這些變更可能會降低偵測和更正敏感 S3 儲存貯體寬鬆政策的時間。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.8 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-8-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示
<a name="cloudwatch-9"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.9、CIS AWS Foundations Benchmark v1.4.0/4.9、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為組態設定的變更 AWS Config 建立指標篩選條件和警示。監控這些變更有助於確保帳戶組態項目的持續可見性。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.9 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-9-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示
<a name="cloudwatch-10"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.10、CIS AWS Foundations Benchmark v1.4.0/4.10、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。安全群組是控制 VPC 中輸入和輸出流量的狀態封包篩選條件。

CIS 建議您為安全群組的變更建立指標篩選條件和警示。監控這些變更有助於確保不會意外公開 資源和服務。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0 版中針對控制項 4.10 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-10-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示
<a name="cloudwatch-11"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.11、CIS AWS Foundations Benchmark v1.4.0/4.11、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。NACL 做為無狀態封包篩選條件使用，可控制 VPC 中子網路的輸入和輸出流量。

CIS 建議您為 NACLs 的變更建立指標篩選條件和警示。監控這些變更有助於確保 AWS 資源和服務不會意外公開。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0 版中針對控制項 4.11 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-11-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示
<a name="cloudwatch-12"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.12、CIS AWS Foundations Benchmark v1.4.0/4.12、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。需要有網路閘道才能在 VPC 外部的目標傳送和接收流量。

CIS 建議您為網路閘道的變更建立指標篩選條件和警示。監控這些變更有助於確保所有輸入和輸出流量透過控制路徑周遊 VPC 邊界。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.2 版中針對控制項 4.12](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-12-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示
<a name="cloudwatch-13"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.13、CIS AWS Foundations Benchmark v1.4.0/4.13、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

此控制項會檢查您是否即時監控 API 呼叫，方法是將 CloudTrail 日誌導向 CloudWatch Logs，並建立對應的指標篩選條件和警示。路由表會在子網路間路由網路流量，並路由到網路閘道。

CIS 建議您為路由表的變更建立指標篩選條件和警示。監控這些變更有助於確保所有 VPC 流量流經預期的路徑。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-13-remediation"></a>

**注意**  
我們在這些修復步驟中建議的篩選條件模式與 CIS 指引中的篩選條件模式不同。我們建議的篩選條件僅針對來自 Amazon Elastic Compute Cloud (EC2) API 呼叫的事件。

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示
<a name="cloudwatch-14"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.14、CIS AWS Foundations Benchmark v1.4.0/4.14、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。一個帳戶可有多個 VPC，而您可在兩個 VPC 之間建立對等連線，在 VPC 之間路由網路流量。

CIS 建議您為 VPCs 的變更建立指標篩選條件和警示。監控這些變更有助於確保身分驗證和授權控制保持不變。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0 版中針對控制項 4.14](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-14-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.15] CloudWatch 警示應已設定指定的動作
<a name="cloudwatch-15"></a>

**相關要求：**NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2、NIST.40

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::CloudWatch::Alarm`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) ``

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  如果 參數設定為 ，`true`且警示狀態變更為 時有動作，則控制項會產生`PASSED`調查結果`ALARM`。  |  Boolean  |  無法自訂  |  `true`  | 
|  `insufficientDataActionRequired`  |  如果 參數設定為 ，`true`且警示狀態變更為 時有動作，則控制項會產生`PASSED`問題清單`INSUFFICIENT_DATA`。  |  Boolean  |  `true` 或 `false` \$1  |  `false`  | 
|  `okActionRequired`  |  如果 參數設定為 ，`true`且警示狀態變更為 時有動作，則控制項會產生`PASSED`問題清單`OK`。  |  Boolean  |  `true` 或 `false` \$1  |  `false`  | 

此控制項會檢查 Amazon CloudWatch 警示是否已針對 `ALARM` 狀態設定至少一個動作。如果警示未針對 `ALARM` 狀態設定動作，則控制項會失敗。或者，您可以包含自訂參數值，以同時需要 `INSUFFICIENT_DATA`或 `OK` 狀態的警示動作。

**注意**  
Security Hub CSPM 會根據 CloudWatch 指標警示評估此控制項。指標警示可能是已設定指定動作的複合警示的一部分。控制項會在下列情況下產生`FAILED`問題清單：  
未針對指標警示設定指定的動作。
指標警示是已設定指定動作的複合警示的一部分。

此控制項著重於 CloudWatch 警示是否已設定警示動作，而 [CloudWatch.17](#cloudwatch-17) 則著重於 CloudWatch 警示動作的啟用狀態。

我們建議 CloudWatch 警示動作，以便在監控的指標超出定義的閾值時自動提醒您。監控警示可協助您識別異常活動，並在警示進入特定狀態時快速回應安全性和操作問題。最常見的警示動作類型是透過傳送訊息至 Amazon Simple Notification Service (Amazon SNS) 主題來通知一或多個使用者。

### 修補
<a name="cloudwatch-15-remediation"></a>

如需有關 CloudWatch 警示支援之動作的資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[警示動作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。

## 【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間
<a name="cloudwatch-16"></a>

**類別：**識別 > 記錄日誌

**相關要求：**NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12

**嚴重性：**中

**資源類型：** `AWS::Logs::LogGroup`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html) ``

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  CloudWatch 日誌群組的最短保留期間，以天為單位  |  列舉  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

此控制項會檢查 Amazon CloudWatch 日誌群組是否具有至少指定天數的保留期間。如果保留期間小於指定的數字，則控制項會失敗。除非您提供保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 365 天。

CloudWatch Logs 會將所有系統、應用程式和 的日誌集中在單一、高度可擴展的服務 AWS 服務 中。您可以使用 CloudWatch Logs 從 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Route 53 和其他來源監控 AWS CloudTrail、存放和存取您的日誌檔案。保留日誌至少 1 年可協助您符合日誌保留標準。

### 修補
<a name="cloudwatch-16-remediation"></a>

若要設定日誌保留設定，請參閱《Amazon [ CloudWatch 使用者指南》中的在 CloudWatch Logs 中變更日誌資料保留](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。 *Amazon CloudWatch *

## 【CloudWatch.17] 應啟用 CloudWatch 警示動作
<a name="cloudwatch-17"></a>

**類別：**偵測 > 偵測服務

**相關需求：**NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)

**嚴重性：**高

**資源類型：** `AWS::CloudWatch::Alarm`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html) ``

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 CloudWatch 警示動作是否已啟用 (`ActionEnabled` 應設為 true)。如果 CloudWatch 警示的警示動作已停用，則控制項會失敗。

**注意**  
Security Hub CSPM 會根據 CloudWatch 指標警示評估此控制項。指標警示可能是啟用警示動作的複合警示的一部分。控制項會在下列情況下產生`FAILED`問題清單：  
未針對指標警示設定指定的動作。
指標警示是已啟用警示動作的複合警示的一部分。

此控制項著重於 CloudWatch 警示動作的啟用狀態，而 [CloudWatch.15](#cloudwatch-15) 則著重於 CloudWatch 警示中是否設定任何`ALARM`動作。

當受監控的指標超出定義的閾值時，警示動作會自動提醒您。如果警示動作已停用，則警示變更狀態時不會執行任何動作，而且您不會收到監控指標變更的提醒。我們建議您啟用 CloudWatch 警示動作，以協助您快速回應安全性和操作問題。

### 修補
<a name="cloudwatch-17-remediation"></a>

**啟用 CloudWatch 警示動作 （主控台）**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中的**警示**下，選擇**所有警示**。

1. 選取您要為其啟用動作的警示。

1. 針對**動作**，選擇**警示動作-新**，然後選擇**啟用**。

如需啟用 CloudWatch 警示動作的詳細資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[警示動作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。

# CodeArtifact 的 Security Hub CSPM 控制項
<a name="codeartifact-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS CodeArtifact 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CodeArtifact.1]CodeArtifact 儲存庫應加上標籤
<a name="codeartifact-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CodeArtifact::Repository`

**AWS Config rule：**`tagged-codeartifact-repository`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS CodeArtifact 儲存庫是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果儲存庫沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果儲存庫未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="codeartifact-1-remediation"></a>

若要將標籤新增至 CodeArtifact 儲存庫，請參閱*AWS CodeArtifact 《 使用者指南*》[中的在 CodeArtifact 中標記儲存庫](https://docs.aws.amazon.com/codeartifact/latest/ug/tag-repositories.html)。

# CodeBuild 的 Security Hub CSPM 控制項
<a name="codebuild-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS CodeBuild 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料
<a name="codebuild-1"></a>

**相關要求：**NIST.800-53.r5 SA-3、PCI DSS v3.2.1/8.2.1、PCI DSS v4.0.1/8.3.2

**類別：**保護 > 安全開發

**嚴重性：**嚴重

**資源類型：** `AWS::CodeBuild::Project`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS CodeBuild 專案 Bitbucket 來源儲存庫 URL 是否包含個人存取字符或使用者名稱和密碼。如果 Bitbucket 來源儲存庫 URL 包含個人存取字符或使用者名稱和密碼，則控制項會失敗。

**注意**  
此控制項會評估 CodeBuild 組建專案的主要來源和次要來源。如需專案來源的詳細資訊，請參閱*AWS CodeBuild 《 使用者指南*》中的[多個輸入來源和輸出成品範例](https://docs.aws.amazon.com/codebuild/latest/userguide/sample-multi-in-out.html)。

登入憑證不應以純文字形式儲存或傳輸，也不應出現在來源儲存庫 URL 中。您應該在 CodeBuild 中存取來源提供者，並將來源儲存庫 URL 變更為僅包含 Bitbucket 儲存庫位置的路徑，而不是個人存取字符或登入憑證。使用個人存取字符或登入憑證可能會導致意外的資料暴露或未經授權的存取。

### 修補
<a name="codebuild-1-remediation"></a>

您可以更新您的 CodeBuild 專案以使用 OAuth。

**從 CodeBuild 專案來源移除基本身分驗證/(GitHub) 個人存取字符**

1. 前往 [https://console.aws.amazon.com/codebuild/](https://console.aws.amazon.com/codebuild/) 開啟 CodeBuild 主控台。

1. 選擇包含個人存取字符或使用者名稱及密碼的建置專案。

1. 從 **Edit (編輯)** 中，選擇 **Source (來源)**。

1. 選擇 **Disconnect from GitHub / Bitbucket (從 GitHub / Bitbucket 中斷連線)**。

1. 選擇 **Connect using OAuth (使用 OAuth 連線)**，然後選擇 **Connect to GitHub / Bitbucket (連線至 GitHub / Bitbucket)**。

1. 出現提示時，選擇 **authorize as appropriate (適當授權)**。

1. 視需要重新設定您的儲存庫 URL 和其他組態設定。

1. 選擇 **Update source (更新來源)**。

如需詳細資訊，請參閱*AWS CodeBuild 《 使用者指南*》中的 [CodeBuild 使用案例型範例](https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html)。

## 【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料
<a name="codebuild-2"></a>

**相關要求：**NIST.800-53.r5 IA-5(7)、NIST.800-53.r5 SA-3、PCI DSS v3.2.1/8.2.1、PCI DSS v4.0.1/8.3.2

**類別：**保護 > 安全開發

**嚴重性：**嚴重

**資源類型：** `AWS::CodeBuild::Project`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查專案是否包含環境變數 `AWS_ACCESS_KEY_ID` 和 `AWS_SECRET_ACCESS_KEY`。

身分驗證登入資料 `AWS_ACCESS_KEY_ID` 和 `AWS_SECRET_ACCESS_KEY` 永遠不應以純文字形式存放，應該這可能會意外公開資料或使其受到未經授權的存取。

### 修補
<a name="codebuild-2-remediation"></a>

若要從 CodeBuild 專案中移除環境變數，請參閱*AWS CodeBuild 《 使用者指南*》中的在 [中變更建置專案的設定 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html)。確保未為**環境變數**選取任何項目。

您可以將具有敏感值的環境變數存放在 AWS Systems Manager 參數存放區或 中， AWS Secrets Manager 然後從建置規格中擷取它們。如需說明，請參閱*AWS CodeBuild 《 使用者指南*》中[環境區段](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project-console.html#change-project-console-environment)中標記為**重要** 的方塊。

## 【CodeBuild.3] CodeBuild S3 日誌應加密
<a name="codebuild-3"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)、PCI DSS v4.0.1/10.3.2

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**低

**資源類型：** `AWS::CodeBuild::Project`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-s3-logs-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS CodeBuild 專案的 Amazon S3 日誌是否已加密。如果 CodeBuild 專案的 S3 日誌停用加密，則控制項會失敗。

加密靜態資料是為資料新增一層存取管理的建議最佳實務。加密靜態日誌可降低使用者未經 驗證 AWS 將存取磁碟上存放之資料的風險。它新增了另一組存取控制，以限制未經授權的使用者存取資料的能力。

### 修補
<a name="codebuild-3-remediation"></a>

若要變更 CodeBuild 專案 S3 日誌的加密設定，請參閱*AWS CodeBuild 《 使用者指南*》中的在 [中變更建置專案的設定 AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/change-project.html)。

## 【CodeBuild.4] CodeBuild AWS Config專案環境應具有記錄 URL
<a name="codebuild-4"></a>

**相關需求：**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::CodeBuild::Project`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 CodeBuild 專案環境是否已啟用至少一個日誌選項，包括 S3 或 CloudWatch 日誌。如果 CodeBuild 專案環境未啟用至少一個日誌選項，則此控制項會失敗。

從安全角度來看，記錄是一項重要功能，可在發生任何安全事件時，為未來的鑑識工作提供支援。將 CodeBuild 專案中的異常與威脅偵測相關聯，可以提高對這些威脅偵測準確性的信心。

### 修補
<a name="codebuild-4-remediation"></a>

如需如何設定 CodeBuild 專案日誌設定的詳細資訊，請參閱 CodeBuild 使用者指南中的[建立建置專案 （主控台）](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-logs)。

## 【CodeBuild.5] CodeBuild 專案環境不應啟用特權模式
<a name="codebuild-5"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)

**類別：**保護 > 安全存取管理

**嚴重性：**高

**資源類型：** `AWS::CodeBuild::Project`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-environment-privileged-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS CodeBuild 專案環境是否已啟用或停用特權模式。如果 CodeBuild 專案環境已啟用特殊權限模式，則控制項會失敗。

根據預設，Docker 容器不允許存取任何裝置。「Privileged」(特殊權限) 模式會授予建置專案之 Docker 容器對所有裝置的存取權。`privilegedMode` 使用 值設定 `true` 可讓 Docker 協助程式在 Docker 容器內執行。Docker 協助程式會監聽 Docker API 請求，並管理 Docker 物件，例如映像、容器、網路和磁碟區。只有在建置專案用於建置 Docker 映像時，此參數才應該設定為 true。否則，應停用此設定，以防止意外存取 Docker APIs 和容器的基礎硬體。`privilegedMode` 將 設定為 `false`有助於保護關鍵資源免於遭到竄改和刪除。

### 修補
<a name="codebuild-5-remediation"></a>

若要設定 CodeBuild 專案環境設定，請參閱 *CodeBuild 使用者指南*中的[建立建置專案 （主控台）](https://docs.aws.amazon.com/codebuild/latest/userguide/create-project-console.html#create-project-console-environment)。在**環境**區段中，不要選取**特殊權限**設定。

## 【CodeBuild.7] CodeBuild 報告群組匯出應靜態加密
<a name="codebuild-7"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::CodeBuild::ReportGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-report-group-encrypted-at-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體的報告 AWS CodeBuild 群組測試結果是否靜態加密。如果報告群組匯出未靜態加密，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="codebuild-7-remediation"></a>

若要加密匯出至 S3 的報告群組，請參閱*AWS CodeBuild 《 使用者指南*》中的[更新報告群組](https://docs.aws.amazon.com/codebuild/latest/userguide/report-group-export-settings.html)。

# Amazon CodeGuru Profiler 的 Security Hub CSPM 控制項
<a name="codeguruprofiler-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon CodeGuru Profiler 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CodeGuruProfiler.1] 應標記 CodeGuru Profiler 分析群組
<a name="codeguruprofiler-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CodeGuruProfiler::ProfilingGroup`

**AWS Config 規則：**`codeguruprofiler-profiling-group-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon CodeGuru Profiler 分析群組是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果分析群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果分析群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="codeguruprofiler-1-remediation"></a>

若要將標籤新增至 CodeGuru Profiler 分析群組，請參閱《*Amazon CodeGuru Profiler 使用者指南*》中的[標記分析群組](https://docs.aws.amazon.com/codeguru/latest/profiler-ug/tagging-profiling-groups.html)。

# Amazon CodeGuru Reviewer 的 Security Hub CSPM 控制項
<a name="codegurureviewer-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon CodeGuru Reviewer 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CodeGuruReviewer.1] 應標記 CodeGuru Reviewer 儲存庫關聯
<a name="codegurureviewer-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CodeGuruReviewer::RepositoryAssociation`

**AWS Config 規則：**`codegurureviewer-repository-association-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon CodeGuru Reviewer 儲存庫關聯是否具有與參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果儲存庫關聯沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果儲存庫關聯未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="codegurureviewer-1-remediation"></a>

若要將標籤新增至 CodeGuru Reviewer 儲存庫關聯，請參閱《*Amazon CodeGuru Reviewer 使用者指南*》中的[標記儲存庫關聯](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/tag-repository-association.html)。

# Amazon Cognito 的 Security Hub CSPM 控制項
<a name="cognito-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Cognito 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Cognito.1】 Cognito 使用者集區應以標準身分驗證的完整功能強制執行模式啟用威脅防護
<a name="cognito-1"></a>

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::Cognito::UserPool`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-advanced-security-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `SecurityMode`  |  控制項檢查的威脅防護強制執行模式。  |  String  |  `AUDIT`, `ENFORCED`  |  `ENFORCED`  | 

此控制項會檢查 Amazon Cognito 使用者集區是否已啟用威脅防護，並將強制執行模式設定為標準身分驗證的完整函數。如果使用者集區已停用威脅防護，或者如果強制執行模式未設定為標準身分驗證的完整函數，則控制項會失敗。除非您提供自訂參數值，否則 Security Hub CSPM 會將強制執行模式的預設值 `ENFORCED` 設定為標準身分驗證的完整函數。

建立 Amazon Cognito 使用者集區之後，您可以啟用威脅防護，並自訂為了回應不同風險而採取的動作。或者，您可以使用稽核模式來收集偵測到風險的指標，而無需套用任何安全性緩解措施。在稽核模式中，威脅防護會將指標發佈至 Amazon CloudWatch。您可以在 Amazon Cognito 產生第一個事件後看到指標。

### 修補
<a name="cognito-1-remediation"></a>

如需有關啟用 Amazon Cognito 使用者集區威脅防護的資訊，請參閱《*Amazon Cognito 開發人員指南*》中的進階[安全性與威脅防護](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html)。

## 【Cognito.2】 Cognito 身分集區不應允許未驗證的身分
<a name="cognito-2"></a>

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::Cognito::IdentityPool`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-identity-pool-unauth-access-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Cognito 身分集區是否設定為允許未驗證的身分。如果身分集區的訪客存取已啟用 ( `AllowUnauthenticatedIdentities` 參數設定為 `true`)，則控制項會失敗。

如果 Amazon Cognito 身分集區允許未驗證的身分，則身分集區會提供臨時 AWS 憑證給未透過身分提供者 （訪客） 驗證的使用者。這會產生安全風險，因為它允許匿名存取 AWS 資源。如果您停用訪客存取，您可以協助確保只有經過適當驗證的使用者才能存取您的 AWS 資源，進而降低未經授權的存取和潛在安全漏洞的風險。最佳實務是，身分集區應要求透過支援的身分提供者進行身分驗證。如果需要未經驗證的存取，請務必謹慎限制未經驗證身分的許可，並定期檢閱和監控其使用情況。

### 修補
<a name="cognito-2-remediation"></a>

如需有關停用 Amazon Cognito 身分集區訪客存取權的資訊，請參閱《*Amazon Cognito 開發人員指南*》中的[啟用或停用訪客存取權](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html#enable-or-disable-unauthenticated-identities)。

## 【Cognito.3】 Cognito 使用者集區的密碼政策應具有強大的組態
<a name="cognito-3"></a>

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::Cognito::UserPool`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-password-policy-check.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minLength`  | 密碼必須包含的字元數下限。 | Integer | `8` 至 `128` | `8 ` | 
|  `requireLowercase`  | 密碼中至少需要一個小寫字元。 | Boolean | `True`, `False` | `True`  | 
|  `requireUppercase`  | 密碼中至少需要一個大寫字元。 | Boolean | `True`, `False` | `True`  | 
|  `requireNumbers`  | 密碼中至少需要一個數字。 | Boolean | `True`, `False` | `True`  | 
|  `requireSymbols`  | 密碼中至少需要一個符號。 | Boolean | `True`, `False` | `True`  | 
|  `temporaryPasswordValidity`  | 密碼過期前可存在的天數上限。 | Integer | `7` 至 `365` | `7`  | 

此控制項會根據建議的密碼政策設定，檢查 Amazon Cognito 使用者集區的密碼政策是否需要使用強式密碼。如果使用者集區的密碼政策不需要強式密碼，則控制項會失敗。您可以選擇性地為控制項檢查的政策設定指定自訂值。

強式密碼是 Amazon Cognito 使用者集區的安全最佳實務。弱密碼可能會將使用者的登入資料公開給猜測密碼並嘗試存取資料的系統。對於開放給網際網路的應用程式來說尤其如此。密碼政策是使用者目錄安全性的中心元素。透過使用密碼政策，您可以設定使用者集區來要求密碼複雜性和其他符合您安全標準和需求的設定。

### 修補
<a name="cognito-3-remediation"></a>

如需有關建立或更新 Amazon Cognito 使用者集區密碼政策的資訊，請參閱《*Amazon Cognito 開發人員指南*》中的[新增使用者集區密碼需求](https://docs.aws.amazon.com/cognito/latest/developerguide/managing-users-passwords.html#user-pool-settings-policies)。

## 【Cognito.4】 Cognito 使用者集區應以完整功能強制執行模式啟用威脅防護，以進行自訂身分驗證
<a name="cognito-4"></a>

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::Cognito::UserPool`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-userpool-cust-auth-threat-full-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Cognito 使用者集區是否已啟用威脅防護，並將強制執行模式設定為自訂身分驗證的完整函數。如果使用者集區已停用威脅防護，或者如果強制執行模式未設定為自訂身分驗證的完整函數，則控制項會失敗。

威脅防護先前稱為進階安全功能，是一組用於使用者集區中不需要活動的監控工具，以及用於自動關閉潛在惡意活動的組態工具。建立 Amazon Cognito 使用者集區後，您可以使用完整功能強制執行模式啟用威脅防護，以進行自訂身分驗證，並自訂因應不同風險所採取的動作。全功能模式包含一組自動反應，用於偵測不需要的活動和洩露的密碼。

### 修補
<a name="cognito-4-remediation"></a>

如需有關啟用 Amazon Cognito 使用者集區威脅防護的資訊，請參閱《*Amazon Cognito 開發人員指南*》中的進階[安全性與威脅防護](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-threat-protection.html)。

## 【Cognito.5】 應為 Cognito 使用者集區啟用 MFA
<a name="cognito-5"></a>

**類別：**保護 > 安全存取管理 > 多重要素驗證

**嚴重性：**中

**資源類型：** `AWS::Cognito::UserPool`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-mfa-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查以僅限密碼登入政策設定的 Amazon Cognito 使用者集區是否已啟用多重要素驗證 (MFA)。如果使用僅限密碼登入政策設定的使用者集區未啟用 MFA，則控制項會失敗。

多重要素驗證 (MFA) 會將您擁有的身分驗證要素新增至您知道的要素 （通常是使用者名稱和密碼）。對於聯合身分使用者，Amazon Cognito 會將身分驗證委派給身分提供者 (IdP)，且不提供額外的身分驗證因素。不過，如果您有具有密碼身分驗證的本機使用者，則設定使用者集區的 MFA 會增加其安全性。

**注意**  
此控制項不適用於聯合身分使用者和使用無密碼因素登入的使用者。

### 修補
<a name="cognito-5-remediation"></a>

如需有關如何為 Amazon Cognito 使用者集區設定 MFA 的資訊，請參閱《*Amazon Cognito 開發人員指南*》中的[將 MFA 新增至使用者集](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html)區。

## 【Cognito.6】 Cognito 使用者集區應該啟用刪除保護
<a name="cognito-6"></a>

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**中

**資源類型：** `AWS::Cognito::UserPool`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cognito-user-pool-deletion-protection-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Cognito 使用者集區是否已啟用刪除保護。如果使用者集區的刪除保護已停用，則控制項會失敗。

刪除保護有助於確保您的使用者集區不會意外刪除。當您設定具有刪除保護的使用者集區時，任何使用者都無法刪除集區。刪除保護可防止您請求刪除使用者集區，除非您先修改集區並停用刪除保護。

### 修補
<a name="cognito-6-remediation"></a>

若要設定 Amazon Cognito 使用者集區的刪除保護，請參閱《*Amazon Cognito 開發人員指南*》中的[使用者集區刪除保護](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-deletion-protection.html)。

# 的 Security Hub CSPM 控制項 AWS Config
<a name="config-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS Config 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄
<a name="config-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.3、CIS AWS Foundations Benchmark v1.2.0/2.5、CIS AWS Foundations Benchmark v1.4.0/3.5、CIS AWS Foundations Benchmark v3.0.0/3.3、NIST.800-53.r5 CM-3、NIST.800-53.r5 CM-6(1)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(2)、PCI DSS v3.2.1/10.5.2、PCI v3.2.1/1.5.5

**類別：**識別 > 清查

**嚴重性：**嚴重

**資源類型：** `AWS::::Account`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `includeConfigServiceLinkedRoleCheck`  |  如果 參數設定為 ，則控制項不會評估 是否 AWS Config 使用服務連結角色`false`。  |  Boolean  |  `true` 或 `false` \$1  |  `true`  | 

此控制項 AWS Config 會檢查您的帳戶是否在目前的 中啟用 AWS 區域、記錄與目前區域中啟用的控制項對應的所有資源，並使用 [服務連結 AWS Config 角色](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html)。服務連結角色的名稱為 **AWSServiceRoleForConfig**。如果您不使用服務連結角色，且未將 `includeConfigServiceLinkedRoleCheck` 參數設定為 `false`，則控制項會失敗，因為其他角色可能沒有必要許可 AWS Config 讓 準確記錄您的資源。

 AWS Config 此服務會對您帳戶中支援 AWS 的資源執行組態管理，並交付日誌檔案給您。記錄的資訊包括組態項目 (AWS 資源）、組態項目之間的關係，以及資源內的任何組態變更。全域資源是可在任何區域中使用的資源。

控制項的評估方式如下：
+ 如果目前區域設定為[彙總區域](finding-aggregation.md)，則控制項只會在記錄 AWS Identity and Access Management (IAM) 全域資源時產生`PASSED`調查結果 （如果您已啟用需要它們的控制項）。
+ 如果目前區域設定為連結的區域，則控制項不會評估是否記錄 IAM 全域資源。
+ 如果目前區域不在彙總工具中，或您的帳戶中未設定跨區域彙總，則只有在記錄 IAM 全域資源時 （如果您已啟用需要它們的控制項），控制項才會產生`PASSED`調查結果。

無論您選擇每日還是持續記錄資源狀態的變更，控制結果都不會受到影響 AWS Config。不過，如果您已設定自動啟用新控制項，或具有自動啟用新控制項的中央組態政策，則發佈新控制項時，此控制項的結果可能會變更。在這些情況下，如果您未記錄所有資源，您必須為與新控制項相關聯的資源設定記錄，才能接收`PASSED`問題清單。

Security Hub CSPM 安全檢查只有在您在 AWS Config 所有區域中啟用 並為需要它的控制項設定資源記錄時，才能如預期運作。

**注意**  
Config.1 AWS Config 要求在您使用 Security Hub CSPM 的所有區域中啟用 。  
由於 Security Hub CSPM 是區域服務，因此針對此控制項執行的檢查只會評估帳戶的目前區域。  
若要允許對區域中的 IAM 全域資源進行安全檢查，您必須在該區域中記錄 IAM 全域資源。未記錄 IAM 全域資源的區域會收到檢查 IAM 全域資源之控制項的預設`PASSED`調查結果。由於 IAM 全域資源在各個區域之間都是相同的 AWS 區域，因此我們建議您僅在主要區域 （如果您的帳戶中啟用了跨區域彙總） 中記錄 IAM 全域資源。IAM 資源只會記錄在開啟全域資源記錄的區域中。  
 AWS Config 支援的 IAM 全域記錄資源類型是 IAM 使用者、群組、角色和客戶受管政策。您可以考慮停用 Security Hub CSPM 控制項，在關閉全域資源記錄的區域中檢查這些資源類型。如需詳細資訊，請參閱[在 Security Hub CSPM 中停用的建議控制項](controls-to-disable.md)。

### 修補
<a name="config-1-remediation"></a>

在不屬於彙總工具的主區域和區域中，記錄目前區域中啟用之控制項所需的所有資源，如果您已啟用需要 IAM 全域資源的控制項，則包括 IAM 全域資源。

在連結的區域中，只要您要記錄與目前區域中啟用的控制項對應的所有資源，就可以使用任何 AWS Config 錄製模式。在連結區域中，如果您已啟用需要記錄 IAM 全域資源的控制項，則不會收到`FAILED`調查結果 （其他資源的記錄就足夠）。

問題清單`Compliance`物件中的 `StatusReasons` 欄位可協助您判斷為什麼此控制項的問題清單失敗。如需詳細資訊，請參閱[控制問題清單的合規詳細資訊](controls-findings-create-update.md#control-findings-asff-compliance)。

如需每個控制項必須記錄哪些資源的清單，請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。如需啟用 AWS Config 和設定資源錄製的一般資訊，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。

# Amazon Connect 的 Security Hub CSPM 控制項
<a name="connect-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Connect 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Connect.1】 Amazon Connect Customer Profiles 物件類型應加上標籤
<a name="connect-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::CustomerProfiles::ObjectType`

**AWS Config 規則：**`customerprofiles-object-type-tagged`

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Connect Customer Profiles 物件類型是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果物件類型沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果物件類型未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="connect-1-remediation"></a>

若要將標籤新增至客戶設定檔物件類型，請參閱《[Amazon Connect 管理員指南》中的將標籤新增至 Amazon Connect 中的資源](https://docs.aws.amazon.com/connect/latest/adminguide/tagging.html)。 *Amazon Connect *

## 【Connect.2】 Amazon Connect 執行個體應該啟用 CloudWatch 記錄
<a name="connect-2"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Connect::Instance`

**AWS Config 規則：**[connect-instance-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/connect-instance-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Connect 執行個體是否已設定為在 Amazon CloudWatch 日誌群組中產生和存放流程日誌。如果 Amazon Connect 執行個體未設定為在 CloudWatch 日誌群組中產生和存放流程日誌，則控制項會失敗。

Amazon Connect 流程日誌提供 Amazon Connect 流程中事件的即時詳細資訊。*流程*定義了 Amazon Connect 聯絡中心從頭到尾的客戶體驗。根據預設，當您建立新的 Amazon Connect 執行個體時，會自動建立 Amazon CloudWatch 日誌群組，以存放執行個體的流程日誌。流程日誌可協助您分析流程、尋找錯誤，以及監控操作指標。您也可以為流程中可能發生的特定事件設定提醒。

### 修補
<a name="connect-2-remediation"></a>

如需有關為 Amazon Connect 執行個體啟用流程日誌的資訊，請參閱《[Amazon Connect 管理員指南》中的在 Amazon CloudWatch 日誌群組中啟用 Amazon Connect 流程日誌](https://docs.aws.amazon.com/connect/latest/adminguide/contact-flow-logs.html)。 *Amazon Connect *

# Amazon Data Firehose 的 Security Hub CSPM 控制項
<a name="datafirehose-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Data Firehose 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【DataFirehose.1] Firehose 交付串流應靜態加密
<a name="datafirehose-1"></a>

**相關需求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 AU-3、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::KinesisFirehose::DeliveryStream`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**排程類型：**定期

**參數：**無 

此控制項會檢查 Amazon Data Firehose 交付串流是否使用伺服器端加密進行靜態加密。如果 Firehose 交付串流未使用伺服器端加密進行靜態加密，則此控制會失敗。

伺服器端加密是 Amazon Data Firehose 交付串流的一項功能，使用在 AWS Key Management Service () 中建立的金鑰，在資料處於靜態狀態之前自動加密資料AWS KMS。資料會在寫入 Data Firehose 串流儲存層之前加密，並在從儲存體擷取後解密。這可讓您遵守法規要求，並增強資料的安全性。

### 修補
<a name="datafirehose-1-remediation"></a>

若要在 Firehose 交付串流上啟用伺服器端加密，請參閱《[Amazon Data Firehose 開發人員指南》中的 Amazon Data Firehose ](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html)中的資料保護。 **

# 的 Security Hub CSPM 控制項 AWS Database Migration Service
<a name="dms-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Database Migration Service (AWS DMS) AWS DMS 和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【DMS.1】 Database Migration Service 複寫執行個體不應為公有
<a name="dms-1"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：** `AWS::DMS::ReplicationInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS DMS 複寫執行個體是否為公有。若要這樣做，它會檢查 `PubliclyAccessible` 欄位的值。

私有複寫執行個體具有您無法在複寫網路外部存取的私有 IP 地址。當來源和目標資料庫位於相同網路時，複寫執行個體應具有私有 IP 地址。網路也必須使用 VPN Direct Connect或 VPC 對等互連連線至複寫執行個體的 VPC。若要進一步了解公有和私有複寫執行個體，請參閱*AWS Database Migration Service 《 使用者指南*》中的[公有和私有複寫執行個體](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate)。

您也應該確保僅授權使用者才能存取 AWS DMS 執行個體組態。若要這樣做，請限制使用者的 IAM 許可來修改 AWS DMS 設定和資源。

### 修補
<a name="dms-1-remediation"></a>

您無法在建立 DMS 複寫執行個體之後變更其公有存取設定。若要變更公有存取設定，請[刪除您目前的執行個體](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Deleting.html)，然後[重新建立它](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Creating.html)。請勿選取**可公開存取**選項。

## 【DMS.2】 DMS 憑證應加上標籤
<a name="dms-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::DMS::Certificate`

**AWS Config rule：**`tagged-dms-certificate`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS DMS 憑證是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果憑證沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果憑證未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="dms-2-remediation"></a>

若要將標籤新增至 DMS 憑證，請參閱*AWS Database Migration Service 《 使用者指南*》中的在 [中標記資源 AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## 【DMS.3】 DMS 事件訂閱應加上標籤
<a name="dms-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::DMS::EventSubscription`

**AWS Config rule：**`tagged-dms-eventsubscription`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS DMS 事件訂閱是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果事件訂閱沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果事件訂閱未加上任何索引鍵的標籤，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="dms-3-remediation"></a>

若要將標籤新增至 DMS 事件訂閱，請參閱*AWS Database Migration Service 《 使用者指南*》中的在 [中標記資源 AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## 【DMS.4】 DMS 複寫執行個體應加上標籤
<a name="dms-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::DMS::ReplicationInstance`

**AWS Config rule：**`tagged-dms-replicationinstance`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS DMS 複寫執行個體是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果複寫執行個體沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果複寫執行個體未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="dms-4-remediation"></a>

若要將標籤新增至 DMS 複寫執行個體，請參閱*AWS Database Migration Service 《 使用者指南》*中的在 [中標記資源 AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## 【DMS.5】 DMS 複寫子網路群組應加上標籤
<a name="dms-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::DMS::ReplicationSubnetGroup`

**AWS Config rule：**`tagged-dms-replicationsubnetgroup`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS DMS 複寫子網路群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果複寫子網路群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果複寫子網路群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="dms-5-remediation"></a>

若要將標籤新增至 DMS 複寫子網路群組，請參閱*AWS Database Migration Service 《 使用者指南》*中的在 [中標記資源 AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Tagging.html)。

## 【DMS.6】 DMS 複寫執行個體應啟用自動次要版本升級
<a name="dms-6"></a>

**相關要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::DMS::ReplicationInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-auto-minor-version-upgrade-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查複 AWS DMS 寫執行個體是否已啟用自動次要版本升級。如果未針對 DMS 複寫執行個體啟用自動次要版本升級，則控制項會失敗。

DMS 提供每個支援的複寫引擎的自動次要版本升級，讓您可以將複寫執行個體保持在up-to-date。次要版本可以引進新的軟體功能、錯誤修正、安全性修補程式和效能改善。透過在 DMS 複寫執行個體上啟用自動次要版本升級，次要升級會在維護時段期間自動套用，或在選擇立即套用**變更選項時立即套用**。

### 修補
<a name="dms-6-remediation"></a>

若要在 DMS 複寫執行個體上啟用自動次要版本升級，請參閱*AWS Database Migration Service 《 使用者指南*》中的[修改複寫執行個體](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html)。

## 【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄
<a name="dms-7"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::DMS::ReplicationTask`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-targetdb-logging.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否以 DMS `LOGGER_SEVERITY_DEFAULT` 複寫任務和 的最低嚴重性層級啟用記錄`TARGET_APPLY``TARGET_LOAD`。如果未針對這些任務啟用記錄，或如果最低嚴重性等級小於 ，則控制項會失敗`LOGGER_SEVERITY_DEFAULT`。

DMS 使用 Amazon CloudWatch 在遷移程序期間記錄資訊。使用記錄任務設定，您可以指定記錄哪些元件活動，以及記錄多少資訊。您應該為下列任務指定記錄：
+ `TARGET_APPLY` – 將資料和資料定義語言 (DDL) 陳述式套用到目標資料庫。
+ `TARGET_LOAD` – 將資料載入目標資料庫。

記錄透過啟用監控、疑難排解、稽核、效能分析、錯誤偵測和復原，以及歷史分析和報告，在 DMS 複寫任務中扮演重要角色。它有助於確保資料庫之間的資料成功複寫，同時保持資料完整性並符合法規要求。在疑難排解期間，這些元件很少需要 `DEFAULT` 以外的日誌記錄層級。我們建議將這些元件的記錄層級維持為 `DEFAULT` ，除非 特別要求變更 支援。最低的記錄層級`DEFAULT`可確保資訊性訊息、警告和錯誤訊息寫入日誌。此控制項會檢查上述複寫任務的記錄層級是否至少為下列其中一項：`LOGGER_SEVERITY_DEFAULT`、 `LOGGER_SEVERITY_DEBUG`或 `LOGGER_SEVERITY_DETAILED_DEBUG`。

### 修補
<a name="dms-7-remediation"></a>

若要啟用目標資料庫 DMS 複寫任務的記錄，請參閱*AWS Database Migration Service 《 使用者指南*》中的[檢視和管理 AWS DMS 任務日誌](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs)。

## 【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄
<a name="dms-8"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::DMS::ReplicationTask`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-task-sourcedb-logging.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否以 DMS `LOGGER_SEVERITY_DEFAULT` 複寫任務和 的最低嚴重性層級啟用記錄`SOURCE_CAPTURE``SOURCE_UNLOAD`。如果未針對這些任務啟用記錄，或如果最低嚴重性等級小於 ，則控制項會失敗`LOGGER_SEVERITY_DEFAULT`。

DMS 使用 Amazon CloudWatch 在遷移程序期間記錄資訊。使用記錄任務設定，您可以指定記錄哪些元件活動，以及記錄多少資訊。您應該為下列任務指定記錄：
+ `SOURCE_CAPTURE` – 持續複寫或變更資料擷取 (CDC) 資料會從來源資料庫或服務擷取，並傳遞至`SORTER`服務元件。
+ `SOURCE_UNLOAD` – 資料會在完全載入期間從來源資料庫或服務卸載。

記錄透過啟用監控、疑難排解、稽核、效能分析、錯誤偵測和復原，以及歷史分析和報告，在 DMS 複寫任務中扮演重要角色。它有助於確保資料庫之間的資料成功複寫，同時保持資料完整性並符合法規要求。在疑難排解期間，這些元件很少需要 `DEFAULT` 以外的日誌記錄層級。我們建議將這些元件的記錄層級維持為 `DEFAULT` ，除非 特別要求變更 支援。最低的記錄層級`DEFAULT`可確保資訊性訊息、警告和錯誤訊息寫入日誌。此控制項會檢查上述複寫任務的記錄層級是否至少為下列其中一項：`LOGGER_SEVERITY_DEFAULT`、 `LOGGER_SEVERITY_DEBUG`或 `LOGGER_SEVERITY_DETAILED_DEBUG`。

### 修補
<a name="dms-8-remediation"></a>

若要啟用來源資料庫 DMS 複寫任務的記錄，請參閱*AWS Database Migration Service 《 使用者指南*》中的[檢視和管理 AWS DMS 任務日誌](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#CHAP_Monitoring.ManagingLogs)。

## 【DMS.9】 DMS 端點應使用 SSL
<a name="dms-9"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::DMS::Endpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-endpoint-ssl-configured.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS DMS 端點是否使用 SSL 連線。如果端點不使用 SSL，則控制項會失敗。

SSL/TLS 連線透過加密 DMS 複寫執行個體和資料庫之間的連線，提供一層安全性。使用憑證可驗證是否與預期的資料庫建立連線，藉此提供額外的安全層。它透過檢查自動安裝在您佈建的所有資料庫執行個體上的伺服器憑證來執行此操作。透過在 DMS 端點上啟用 SSL 連線，您可以在遷移期間保護資料的機密性。

### 修補
<a name="dms-9-remediation"></a>

若要將 SSL 連線新增至新的或現有的 DMS 端點，請參閱*AWS Database Migration Service 《 使用者指南*》中的[搭配 使用 SSL AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Security.SSL.html#CHAP_Security.SSL.Procedure)。

## 【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權
<a name="dms-10"></a>

**相關要求：**NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-17、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::DMS::Endpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-neptune-iam-authorization-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Neptune 資料庫的 AWS DMS 端點是否已設定 IAM 授權。如果 DMS 端點未啟用 IAM 授權，則控制項會失敗。

AWS Identity and Access Management (IAM) 提供跨 的精細存取控制 AWS。透過 IAM，您可以指定誰可以存取哪些 服務和資源，以及在哪些條件下。使用 IAM 政策，您可以管理人力資源和系統的許可，以確保最低權限許可。透過在 Neptune 資料庫的 AWS DMS 端點上啟用 IAM 授權，您可以使用 `ServiceAccessRoleARN` 參數指定的服務角色，將授權權限授予 IAM 使用者。

### 修補
<a name="dms-10-remediation"></a>

若要在 Neptune 資料庫的 DMS 端點上啟用 IAM 授權，請參閱*AWS Database Migration Service 《 使用者指南*》中的[使用 Amazon Neptune 作為 的目標 AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Neptune.html)。

## 【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制
<a name="dms-11"></a>

**相關要求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::DMS::Endpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-mongo-db-authentication-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 MongoDB 的 AWS DMS 端點是否已設定身分驗證機制。如果未為端點設定身分驗證類型，則控制項會失敗。

AWS Database Migration Service 支援適用於 MongoDB 2.x 版的 MongoDB**—MONGODB-CR** 的兩種身分驗證方法，以及適用於 MongoDB 3.x 版或更新版本的 **SCRAM-SHA-1**。如果使用者想要使用密碼來存取資料庫，這些身分驗證方法會用來驗證和加密 MongoDB 密碼。 AWS DMS 端點上的身分驗證可確保只有授權使用者才能存取和修改在資料庫之間遷移的資料。如果沒有適當的身分驗證，未經授權的使用者可能可以在遷移過程中存取敏感資料。這可能會導致資料外洩、資料遺失或其他安全事件。

### 修補
<a name="dms-11-remediation"></a>

若要在 MongoDB 的 DMS 端點上啟用身分驗證機制，請參閱*AWS Database Migration Service 《 使用者指南*》中的[使用 MongoDB 作為 的來源 AWS DMS](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Source.MongoDB.html)。

## 【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS
<a name="dms-12"></a>

**相關要求：**NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::DMS::Endpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-redis-tls-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Redis OSS 的 AWS DMS 端點是否已設定 TLS 連線。如果端點未啟用 TLS，則控制項會失敗。

當透過網際網路在應用程式或資料庫之間傳送資料時，TLS 會提供end-to-end安全性。當您為 DMS 端點設定 SSL 加密時，它會在遷移程序期間啟用來源和目標資料庫之間的加密通訊。這有助於防止惡意人士竊聽和攔截敏感資料。如果沒有 SSL 加密，可能會存取敏感資料，導致資料外洩、資料遺失或其他安全事件。

### 修補
<a name="dms-12-remediation"></a>

若要在 Redis 的 DMS 端點上啟用 TLS 連線，請參閱*AWS Database Migration Service 《 使用者指南*》中的[使用 Redis 作為 的目標 AWS Database Migration Service](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Target.Redis.html)。

## 【DMS.13】 DMS 複寫執行個體應設定為使用多個可用區域
<a name="dms-13"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::DMS::ReplicationInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-instance-multi-az-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS Database Migration Service (AWS DMS) 複寫執行個體是否設定為使用多個可用區域 （異地同步備份部署）。如果 AWS DMS 複寫執行個體未設定為使用異地同步備份部署，則控制項會失敗。

在異地同步備份部署中， AWS DMS 會自動佈建和維護不同可用區域 (AZ) 中複寫執行個體的待命複本。然後，主要複寫執行個體會同步複寫到待命複本。若主要複寫執行個體失敗或沒有回應，待命會繼續任何執行中的任務，將插斷降至最低。如需詳細資訊，請參閱*AWS Database Migration Service 《 使用者指南*》中的[使用複寫執行個體](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html)。

### 修補
<a name="dms-13-remediation"></a>

建立 AWS DMS 複寫執行個體之後，您可以變更其多可用區域部署設定。如需有關為現有複寫執行個體變更此設定和其他設定的資訊，請參閱*AWS Database Migration Service 《 使用者指南*》中的[修改複寫執行個體](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.Modifying.html)。

# 的 Security Hub CSPM 控制項 AWS DataSync
<a name="datasync-controls"></a>

這些 Security Hub CSPM 控制項會評估 AWS DataSync 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【DataSync.1] DataSync 任務應該已啟用記錄
<a name="datasync-1"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::DataSync::Task`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-logging-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 AWS DataSync 任務是否已啟用記錄。如果任務未啟用記錄，則控制項會失敗。

稽核日誌會追蹤和監控系統活動。它們提供事件的記錄，可協助您偵測安全漏洞、調查事件並遵守法規。稽核日誌也會增強組織的整體責任和透明度。

### 修補
<a name="datasync-1-remediation"></a>

如需有關設定 AWS DataSync 任務記錄的資訊，請參閱*AWS DataSync 《 使用者指南*》中的[使用 Amazon CloudWatch Logs 監控資料傳輸](https://docs.aws.amazon.com/datasync/latest/userguide/configure-logging.html)。

## 【DataSync.2] 應標記 DataSync 任務
<a name="datasync-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::DataSync::Task`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/datasync-task-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS DataSync 任務是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果任務沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果任務沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="datasync-2-remediation"></a>

如需有關將標籤新增至 AWS DataSync 任務的資訊，請參閱*AWS DataSync 《 使用者指南*》中的[標記您的 AWS DataSync 任務](https://docs.aws.amazon.com/datasync/latest/userguide/tagging-tasks.html)。

# Amazon Detective 的 Security Hub CSPM 控制項
<a name="detective-controls"></a>

此 AWS Security Hub CSPM 控制項會評估 Amazon Detective 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Detective.1】 應標記 Detective 行為圖表
<a name="detective-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Detective::Graph`

**AWS Config rule：**`tagged-detective-graph`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Detective 行為圖表是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果行為圖表沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果行為圖表未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="detective-1-remediation"></a>

若要將標籤新增至 Detective 行為圖表，請參閱《*Amazon Detective 管理指南*》中的[將標籤新增至行為圖表](https://docs.aws.amazon.com/detective/latest/adminguide/graph-tags.html#graph-tags-add-console)。

# Amazon DocumentDB 的 Security Hub CSPM 控制項
<a name="documentdb-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon DocumentDB （與 MongoDB 相容） 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密
<a name="documentdb-1"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon DocumentDB 叢集是否靜態加密。如果 Amazon DocumentDB 叢集未靜態加密，則控制項會失敗。

靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性，降低未經授權的使用者存取資料的風險。Amazon DocumentDB 叢集中的資料應靜態加密，以增加一層安全性。Amazon DocumentDB 使用 256 位元進階加密標準 (AES-256)，使用存放在 AWS Key Management Service () 中的加密金鑰來加密您的資料AWS KMS。

### 修補
<a name="documentdb-1-remediation"></a>

您可以在建立 Amazon DocumentDB 叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊，請參閱《[Amazon DocumentDB 開發人員指南》中的為 Amazon DocumentDB 叢集啟用靜態加密](https://docs.aws.amazon.com/documentdb/latest/developerguide/encryption-at-rest.html#encryption-at-rest-enabling)。 *Amazon DocumentDB *

## 【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期
<a name="documentdb-2"></a>

**相關要求：**NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1

**類別：**復原 > 恢復 > 備份已啟用

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-backup-retention-check.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  最短備份保留期間，以天為單位  |  Integer  |  `7` 至 `35`  |  `7`  | 

此控制項會檢查 Amazon DocumentDB 叢集的備份保留期間是否大於或等於指定的時間範圍。如果備份保留期小於指定的時間範圍，則控制項會失敗。除非您提供備份保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 7 天。

備份可協助您更快地從安全事件中復原，並強化系統的彈性。透過自動化 Amazon DocumentDB 叢集的備份，您將能夠將系統還原到某個時間點，並將停機時間和資料遺失降至最低。在 Amazon DocumentDB 中，叢集的預設備份保留期間為 1 天。這必須增加到 7 到 35 天之間的值，才能通過此控制。

### 修補
<a name="documentdb-2-remediation"></a>

若要變更 Amazon DocumentDB 叢集的備份保留期，請參閱《[Amazon DocumentDB 開發人員指南》中的修改 Amazon DocumentDB 叢集](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。 *Amazon DocumentDB * 針對**備份**，選擇備份保留期。

## 【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開
<a name="documentdb-3"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 5

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：** `AWS::RDS::DBClusterSnapshot`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-snapshot-public-prohibited.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon DocumentDB 手動叢集快照是否為公有。如果手動叢集快照為公有，則控制項會失敗。

除非預期，否則 Amazon DocumentDB 手動叢集快照不應公開。如果您將未加密的手動快照共用為公有，則該快照可供所有 使用 AWS 帳戶。公有快照可能會導致意外的資料暴露。

**注意**  
此控制項會評估手動叢集快照。您無法共用 Amazon DocumentDB 自動化叢集快照。不過，您可以透過複製自動化快照來建立手動快照，然後共用複本。

### 修補
<a name="documentdb-3-remediation"></a>

若要移除 Amazon DocumentDB 手動叢集快照的公有存取權，請參閱《*Amazon DocumentDB 開發人員指南*》中的[共用快照](https://docs.aws.amazon.com/documentdb/latest/developerguide/backup_restore-share_cluster_snapshots.html#backup_restore-share_snapshots)。您可以透過程式設計方式使用 Amazon DocumentDB 操作 `modify-db-snapshot-attribute`。將 `attribute-name`設定為 `restore`，將 `values-to-remove`設定為 `all`。

## 【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs
<a name="documentdb-4"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.3.3

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-audit-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon DocumentDB 叢集是否將稽核日誌發佈至 Amazon CloudWatch Logs。如果叢集未將稽核日誌發佈至 CloudWatch Logs，則控制項會失敗。

Amazon DocumentDB （與 MongoDB 相容） 可讓您稽核在叢集中執行的事件。已記錄事件的範例包括成功和失敗的身分驗證嘗試、在資料庫中放入集合，或建立索引。在預設情況下，稽核會在 Amazon DocumentDB 中停用，並要求您採取動作來啟用它。

### 修補
<a name="documentdb-4-remediation"></a>

若要將 Amazon DocumentDB 稽核日誌發佈至 CloudWatch Logs，請參閱《*Amazon DocumentDB 開發人員指南*》中的[啟用稽核](https://docs.aws.amazon.com/documentdb/latest/developerguide/event-auditing.html#event-auditing-enabling-auditing)。

## 【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護
<a name="documentdb-5"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-deletion-protection-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon DocumentDB 叢集是否已啟用刪除保護。如果叢集未啟用刪除保護，則控制項會失敗。

啟用叢集刪除保護可提供額外的保護層，防止未經授權的使用者意外刪除或刪除資料庫。啟用刪除保護時，無法刪除 Amazon DocumentDB 叢集。您必須先停用刪除保護，刪除請求才能成功。當您在 Amazon DocumentDB 主控台中建立叢集時，預設會啟用刪除保護。

### 修補
<a name="documentdb-5-remediation"></a>

若要啟用現有 Amazon DocumentDB 叢集的刪除保護，請參閱《[Amazon DocumentDB 開發人員指南》中的修改 Amazon DocumentDB 叢集](https://docs.aws.amazon.com/documentdb/latest/developerguide/db-cluster-modify.html)。 *Amazon DocumentDB * 在**修改叢集**區段中，選擇**啟用****刪除保護**。

## 【DocumentDB.6] Amazon DocumentDB 叢集應在傳輸中加密
<a name="documentdb-6"></a>

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/docdb-cluster-encrypted-in-transit.html)

**排程類型：**定期

**參數：**`excludeTlsParameters`：`disabled`、 `enabled`（不可自訂）

此控制項會檢查 Amazon DocumentDB 叢集是否需要 TLS 才能連線至叢集。如果與叢集相關聯的叢集參數群組未同步，或 TLS 叢集參數設定為 `disabled`或 ，則控制項會失敗`enabled`。

您可以使用 TLS 來加密應用程式與 Amazon DocumentDB 叢集之間的連線。使用 TLS 有助於防止資料在應用程式和 Amazon DocumentDB 叢集之間傳輸時遭到攔截。Amazon DocumentDB 叢集的傳輸中加密會使用與叢集相關聯的叢集參數群組中的 TLS 參數進行管理。當啟用傳輸中的加密時，需要使用 TLS 的安全連線來連線到叢集。建議使用下列 TLS 參數：`tls1.2+`、 `tls1.3+`和 `fips-140-3`。

### 修補
<a name="documentdb-6-remediation"></a>

如需有關變更 Amazon DocumentDB 叢集 TLS 設定的資訊，請參閱《*Amazon DocumentDB 開發人員指南*》中的[加密傳輸中的資料](https://docs.aws.amazon.com/documentdb/latest/developerguide/security.encryption.ssl.html)。

# DynamoDB 的 Security Hub CSPM 控制項
<a name="dynamodb-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon DynamoDB 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【DynamoDB.1] DynamoDB 資料表應隨著需求自動擴展容量
<a name="dynamodb-1"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::DynamoDB::Table`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 有效的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minProvisionedReadCapacity`  |  DynamoDB 自動擴展的佈建讀取容量單位數目下限  |  Integer  |  `1` 至 `40000`  |  無預設值  | 
|  `targetReadUtilization`  |  讀取容量的目標使用率百分比  |  Integer  |  `20` 至 `90`  |  無預設值  | 
|  `minProvisionedWriteCapacity`  |  DynamoDB 自動擴展的佈建寫入容量單位數目下限  |  Integer  |  `1` 至 `40000`  |  無預設值  | 
|  `targetWriteUtilization`  |  寫入容量的目標使用率百分比  |  Integer  |  `20` 至 `90`  |  無預設值  | 

此控制項會檢查 Amazon DynamoDB 資料表是否可以視需要擴展其讀取和寫入容量。如果資料表不使用隨需容量模式或已設定自動擴展的佈建模式，則控制項會失敗。根據預設，此控制項只需要設定其中一個模式，而不考慮讀取或寫入容量的特定層級。或者，您可以提供自訂參數值，以要求特定層級的讀取和寫入容量或目標使用率。

隨需擴展容量可避免限流例外狀況，有助於維持應用程式的可用性。使用隨需容量模式的 DynamoDB 資料表僅受到 DynamoDB 輸送量預設資料表配額的限制。若要提高這些配額，您可以向 提交支援票證 支援。使用佈建模式搭配自動擴展的 DynamoDB 資料表會動態調整佈建輸送量容量，以回應流量模式。如需 DynamoDB 請求限流的詳細資訊，請參閱《*Amazon DynamoDB 開發人員指南*》中的[請求限流和高載容量](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling)。

### 修補
<a name="dynamodb-1-remediation"></a>

若要在容量模式中對現有資料表啟用 DynamoDB 自動擴展，請參閱《Amazon [ DynamoDB 開發人員指南》中的在現有資料表上啟用 DynamoDB 自動擴展](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable)。 * DynamoDB *

## 【DynamoDB.2] DynamoDB 資料表應該啟用point-in-time復原
<a name="dynamodb-2"></a>

**相關需求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 恢復 > 備份已啟用

**嚴重性：**中

**資源類型：** `AWS::DynamoDB::Table`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已為 Amazon DynamoDB 資料表啟用point-in-time復原 (PITR)。

備份可協助您更快地從安全事件中復原。它們也會強化您系統的彈性。DynamoDB point-in-time復原可自動備份 DynamoDB 資料表。它可縮短從意外刪除或寫入操作中復原的時間。已啟用 PITR 的 DynamoDB 資料表可以還原到過去 35 天內的任何時間點。

### 修補
<a name="dynamodb-2-remediation"></a>

若要將 DynamoDB 資料表還原至某個時間點，請參閱《Amazon [ DynamoDB 開發人員指南》中的將 DynamoDB 資料表還原至某個時間點](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html)。 * DynamoDB *

## 【DynamoDB.3] DynamoDB Accelerator (DAX) 叢集應靜態加密
<a name="dynamodb-3"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::DAX::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon DynamoDB Accelerator (DAX) 叢集是否靜態加密。如果 DAX 叢集未靜態加密，則控制項會失敗。

加密靜態資料可降低未驗證的使用者存取磁碟上儲存的資料的風險 AWS。加密新增另一組存取控制，以限制未經授權的使用者存取資料的能力。例如，需要 API 許可才能解密資料，才能讀取資料。

### 修補
<a name="dynamodb-3-remediation"></a>

建立叢集後，您無法啟用或停用靜態加密。您必須重新建立叢集，才能啟用靜態加密。如需如何在啟用靜態加密的情況下建立 DAX 叢集的詳細說明，請參閱《*Amazon DynamoDB 開發人員指南*》中的[使用 啟用靜態加密 AWS 管理主控台](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console)。

## 【DynamoDB.4] DynamoDB 資料表應存在於備份計畫中
<a name="dynamodb-4"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**類別：**Recover > Resilience > Backups enabled

**嚴重性：**中

**資源類型：** `AWS::DynamoDB::Table`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-resources-protected-by-backup-plan.html) ``

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  如果 參數設定為 `true`且資源使用保存 AWS Backup 庫鎖定，則控制項會產生`PASSED`問題清單。  |  Boolean  |  `true` 或 `false` \$1  |  無預設值  | 

此控制項會評估備份計劃是否涵蓋處於 `ACTIVE` 狀態的 Amazon DynamoDB 資料表。如果備份計畫未涵蓋 DynamoDB 資料表，則控制項會失敗。如果您將 `backupVaultLockCheck` 參數設定為等於 `true`，則只有在 DynamoDB 資料表備份在 AWS Backup 鎖定的保存庫中時，控制項才會通過。

AWS Backup 是一種全受管備份服務，可協助您集中和自動化跨 的資料備份 AWS 服務。透過 AWS Backup，您可以建立備份計劃來定義備份需求，例如備份資料的頻率，以及保留這些備份的時間長度。在備份計畫中包含 DynamoDB 資料表可協助您保護資料免於意外遺失或刪除。

### 修補
<a name="dynamodb-4-remediation"></a>

若要將 DynamoDB 資料表新增至 AWS Backup 備份計劃，請參閱《 *AWS Backup 開發人員指南*》中的[將資源指派給備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## 【DynamoDB.5] DynamoDB 資料表應加上標籤
<a name="dynamodb-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::DynamoDB::Table`

**AWS Config rule：**`tagged-dynamodb-table`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon DynamoDB 資料表是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料表沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料表未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="dynamodb-5-remediation"></a>

若要將標籤新增至 DynamoDB 資料表，請參閱《Amazon [ DynamoDB 開發人員指南》中的在 DynamoDB 中標記資源](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Tagging.Operations.html)。 * DynamoDB *

## 【DynamoDB.6] DynamoDB 資料表應該已啟用刪除保護
<a name="dynamodb-6"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**中

**資源類型：** `AWS::DynamoDB::Table`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-deletion-protection-enabled.html) ``

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon DynamoDB 資料表是否已啟用刪除保護。如果 DynamoDB 資料表未啟用刪除保護，則控制項會失敗。

您可以使用刪除保護屬性來保護 DynamoDB 資料表免於意外刪除。為資料表啟用此屬性有助於確保管理員在定期資料表管理操作期間不會意外刪除資料表。這有助於防止對正常業務操作造成中斷。

### 修補
<a name="dynamodb-6-remediation"></a>

若要啟用 DynamoDB 資料表的刪除保護，請參閱《*Amazon DynamoDB 開發人員指南*》中的[使用刪除保護](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection)。

## 【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密
<a name="dynamodb-7"></a>

**相關要求：**NIST.800-53.r5 AC-17、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::DAX::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/dax-tls-endpoint-encryption.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon DynamoDB Accelerator (DAX) 叢集是否在傳輸中加密，且端點加密類型設定為 TLS。如果 DAX 叢集未在傳輸中加密，則控制項會失敗。

HTTPS (TLS) 可用來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。您應該只允許透過 TLS 的加密連線存取 DAX 叢集。不過，加密傳輸中的資料可能會影響效能。您應該在開啟加密的情況下測試應用程式，以了解效能設定檔和 TLS 的影響。

### 修補
<a name="dynamodb-7-remediation"></a>

您無法在建立 DAX 叢集之後變更 TLS 加密設定。若要加密現有的 DAX 叢集，請建立啟用傳輸中加密的新叢集，將應用程式的流量轉移到該叢集，然後刪除舊叢集。如需詳細資訊，請參閱《*Amazon DynamoDB 開發人員指南*》中的[使用刪除保護](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WorkingWithTables.Basics.html#WorkingWithTables.Basics.DeletionProtection)。

# Amazon EC2 的 Security Hub CSPM 控制項
<a name="ec2-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Elastic Compute Cloud (Amazon EC2) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【EC2.1】 Amazon EBS 快照不應可公開還原
<a name="ec2-1"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重 

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Elastic Block Store 快照是否為公有。如果任何人都可以還原 Amazon EBS 快照，則控制項會失敗。

EBS 快照用於在特定時間點將 EBS 磁碟區上的資料備份至 Amazon S3。您可以使用快照來還原 EBS 磁碟區的先前狀態。公開共享快照很少會有人願意接受。通常公開共享快照的決定都是錯誤的，或者並未完全了解其中含義。這項檢查有助於確保所有這些共享都是完整的規劃並且有意的。

### 修補
<a name="ec2-1-remediation"></a>

若要將公有 EBS 快照設為私有，請參閱《*Amazon EC2 使用者指南*》中的[共用快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-unencrypted-snapshot)。針對**動作、修改許可**，選擇**私有**。

## 【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量
<a name="ec2-2"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/5.5、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS AWS Foundations Benchmark v1.2.0/4.3、CIS AWS Foundations Benchmark v1.4.0/5.3、CIS AWS Foundations Benchmark v3.0.0/5.4、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7-1NIST.800-53.r5 SC-710 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**高 

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 VPC 的預設安全群組是否允許傳入或傳出流量。如果安全群組允許傳入或傳出流量，則控制項會失敗。

[預設安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/default-security-group.html)的規則允許所有來自指派至相同安全群組網路界面 (及其相關聯執行個體) 的傳出和傳入流量。建議您不要使用預設安全群組。由於您無法刪除預設安全群組，建議您變更預設安全群組的規則設定，限制傳入和傳出流量。這可以避免在意外地為資源 (例如 EC2 執行個體) 設定預設安全群組時產生意外的流量。

### 修補
<a name="ec2-2-remediation"></a>

若要修復此問題，請先建立新的最低權限安全群組。如需說明，請參閱《*Amazon VPC 使用者指南*》中的[建立安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html#creating-security-groups)。然後，將新的安全群組指派給您的 EC2 執行個體。如需說明，請參閱《*Amazon EC2 使用者指南*》中的[變更執行個體的安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#changing-security-group)。

將新的安全群組指派給資源之後，請從預設安全群組中移除所有傳入和傳出規則。如需說明，請參閱《*Amazon VPC 使用者指南*》中的[設定安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html)。

## 【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密
<a name="ec2-3"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EC2::Volume`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查處於連接狀態的 EBS 磁碟區是否已進行加密。如要通過此檢查，EBS 磁碟區必須為使用中狀態且經過加密。如果沒有連接 EBS 磁碟區，則其便不在此檢查的範圍內。

為了為您 EBS 磁碟區上的敏感資料新增多一層的安全，建議您啟用靜態 EBS 加密。Amazon EBS 加密提供 EBS 資源的直接加密解決方案，使您無須建置、維護和保全您自己的金鑰管理基礎設施。它會在建立加密的磁碟區和快照時使用 KMS 金鑰。

若要進一步了解 Amazon EBS 加密，請參閱《[Amazon EC2 使用者指南》中的 Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。 *Amazon EC2 *

### 修補
<a name="ec2-3-remediation"></a>

無法直接加密現有的未加密磁碟區或快照。您只能在建立磁碟區或快照時進行加密。

如果您預設啟用加密，Amazon EBS 會使用 Amazon EBS 加密的預設金鑰來加密產生的新磁碟區或快照。即使您沒有啟用預設加密，您可以在建立獨立的磁碟區或快照時啟用加密。在這兩種情況下，您可以覆寫 Amazon EBS 加密的預設金鑰，並選擇對稱客戶受管金鑰。

如需詳細資訊，請參閱《[Amazon EC2 使用者指南》中的建立 Amazon EBS 磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html)*Amazon EC2*[複製 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html)。

## 【EC2.4】 已停止的 EC2 執行個體應在指定的期間之後移除
<a name="ec2-4"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 清查

**嚴重性：**中

**資源類型：** `AWS::EC2::Instance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `AllowedDays`  |  在產生失敗的問題清單之前，允許 EC2 執行個體處於停止狀態的天數。  |  Integer  |  `1` 至 `365`  |  `30`  | 

此控制項會檢查 Amazon EC2 執行個體是否已停止超過允許的天數。如果 EC2 執行個體停止的時間超過允許的最長期間，則控制項會失敗。除非您提供最長允許時段的自訂參數值，否則 Security Hub CSPM 會使用預設值 30 天。

當 EC2 執行個體長時間未執行時，會產生安全風險，因為執行個體並未主動維護 （分析、修補、更新）。如果稍後啟動，缺乏適當的維護可能會導致您 AWS 環境中的意外問題。若要安全地將 EC2 執行個體長時間維持在非作用中狀態，請定期啟動以進行維護，然後在維護後將其停止。理想情況下，這應該是自動化程序。

### 修補
<a name="ec2-4-remediation"></a>

若要終止非作用中的 EC2 執行個體，請參閱《*Amazon EC2 使用者指南*》中的[終止執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console)。

## 【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄
<a name="ec2-6"></a>

**相關要求：** CIS AWS Foundations Benchmark 5.0.0/3.7 版， CIS AWS Foundations Benchmark 1.2.0/2.9 版， CIS AWS Foundations Benchmark 1.4.0/3.9 版， CIS AWS Foundations Benchmark 3.0.0/3.7 版， NIST.800-53.r5 AC-4(26)， NIST.800-53.r5 AU-12， NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(3)， NIST.800-53.r5 AU-6(4)， NIST.800-53.r5 CA-7、 NIST.800-53.r5 SI-7(8)， NIST.800-171.r2 3.1.20， NIST.800-171.r2 3.3.1、 NIST.800-171.r2 3.13.1、 PCI DSS 3.2.1/10.3.3 版， PCI DSS 3.2.1/10.3.4 版， PCI DSS 3.2.1/10.3.5 版， PCI DSS 3.2.1/10.3.6 版

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::EC2::VPC`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html)

**排程類型：**定期

**參數：**
+ `trafficType`：`REJECT`（不可自訂）

此控制項會檢查是否已找到並啟用 VPC 的 VPCs 流程日誌。流量類型設定為 `Reject`。如果您帳戶中的 VPC 未啟用 VPCs 流程日誌，則控制項會失敗。

**注意**  
此控制項不會檢查是否透過 的 Amazon Security Lake 啟用 Amazon VPC 流程日誌 AWS 帳戶。

使用 VPC 流程日誌功能，您可以擷取往返 VPC 中網路介面之 IP 地址流量的相關資訊。建立流程日誌之後，您可以在 CloudWatch Logs 中檢視和擷取其資料。若要降低成本，您也可以將流程日誌傳送至 Amazon S3。

Security Hub CSPM 建議您為 VPCs 的封包拒絕啟用流程記錄。流程日誌可讓您了解周遊 VPC 的網路流量，並可偵測異常流量或在安全工作流程期間提供洞見。

根據預設，記錄會包含 IP 地址流程不同元件的值，包括來源、目的地和通訊協定。如需日誌欄位的詳細資訊和說明，請參閱《*Amazon* [VPC 使用者指南》中的 VPC 流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)。

### 修補
<a name="ec2-6-remediation"></a>

若要建立 VPC 流程日誌，請參閱《*Amazon VPC 使用者指南*》中的[建立流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#create-flow-log)。開啟 Amazon VPC 主控台後，選擇**您的 VPCs**。針對**篩選條件**，選擇**拒絕**或**全部**。

## 【EC2.7】 應啟用 EBS 預設加密
<a name="ec2-7"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/5.1.1、CIS AWS Foundations Benchmark v1.4.0/2.2.1、CIS AWS Foundations Benchmark v3.0.0/2.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-5.r5SI-7)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否預設啟用帳戶層級加密。如果未針對 EBS 磁碟區啟用帳戶層級加密，則控制項會失敗。

為您的帳戶啟用加密時，Amazon EBS 磁碟區和快照複本會靜態加密。這會為您的資料新增額外的保護層。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[預設加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)。

### 修補
<a name="ec2-7-remediation"></a>

若要設定 Amazon EBS 磁碟區的預設加密，請參閱《*Amazon EC2 使用者指南*》中的[預設加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)。

## 【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)
<a name="ec2-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/5.7、CIS AWS Foundations Benchmark v3.0.0/5.6、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/2.2.6

**類別：**保護 > 網路安全

**嚴重性：**高

**資源類型：** `AWS::EC2::Instance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 EC2 執行個體中繼資料版本是否已使用執行個體中繼資料服務第 2 版 (IMDSv2) 設定。如果 `HttpTokens` 設定為 IMDSv2 所需的 ，則控制項會通過。如果 設定為 `HttpTokens`，則控制項會失敗`optional`。

您可以使用執行個體中繼資料來設定或管理執行中的執行個體。IMDS 可讓您存取暫時、經常輪換的登入資料。這些登入資料不需要手動或以程式設計方式對執行個體進行硬式編碼或分發敏感登入資料。IMDS 會在本機連接至每個 EC2 執行個體。它在 169.254.169.254 的特殊 "link local" IP 地址上執行。此 IP 地址只能由執行個體上執行的軟體存取。

IMDS 第 2 版為下列類型的漏洞新增了新的保護。這些漏洞可用來嘗試存取 IMDS。
+ 開啟網站應用程式防火牆
+ 開啟反向代理
+ 伺服器端請求偽造 (SSRF) 漏洞
+ 開啟第 3 層防火牆和網路位址轉譯 (NAT)

Security Hub CSPM 建議您使用 IMDSv2 設定 EC2 執行個體。 IMDSv2

### 修補
<a name="ec2-8-remediation"></a>

若要使用 IMDSv2EC2 設定 EC2 執行個體，請參閱《Amazon EC2 使用者指南》中的[需要 IMDSv2 的建議路徑](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#recommended-path-for-requiring-imdsv2)。 *Amazon EC2 *

## 【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址
<a name="ec2-9"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::EC2::Instance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 EC2 執行個體是否具有公有 IP 地址。如果 EC2 執行個體組態項目中有 `publicIp` 欄位，則控制項會失敗。此控制項僅適用於 IPv4 地址。

公有 IPv4 地址是可從網際網路連線的 IP 地址。如果您使用公有 IP 地址啟動執行個體，則可以從網際網路存取 EC2 執行個體。私有 IPv4 地址是無法從網際網路連線的 IP 地址。您可以使用私有 IPv4 地址，在相同 VPC 或連線私有網路中的 EC2 執行個體之間進行通訊。

IPv6 地址是全域唯一的，因此可以從網際網路存取。不過，根據預設，所有子網路的 IPv6 定址屬性都設為 false。如需 IPv6 的詳細資訊，請參閱《*Amazon* [VPC 使用者指南》中的 VPC 中的 IP 定址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)。

如果您有合法的使用案例來維護具有公有 IP 地址的 EC2 執行個體，則可以隱藏此控制項的問題清單。如需前端架構選項的詳細資訊，請參閱[AWS 架構部落格](https://aws.amazon.com/blogs/architecture/)或[這是我的架構系列](https://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile) AWS 影片系列。

### 修補
<a name="ec2-9-remediation"></a>

使用非預設 VPC，讓執行個體預設不會獲指派公有 IP 地址。

當您在預設 VPC 中啟動 EC2 執行個體時，會為其指派公有 IP 地址。當您在非預設 VPC 中啟動 EC2 執行個體時，子網路組態會判斷它是否收到公有 IP 地址。子網路具有 屬性，可判斷子網路中的新 EC2 執行個體是否從公有 IPv4 地址集區接收公有 IP 地址。

您可以將自動指派的公有 IP 地址與 EC2 執行個體取消關聯。如需詳細資訊，請參閱*《Amazon EC2 使用者指南》*中的[公有 IPv4 地址和外部 DNS 主機名稱](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses)。

## 【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點
<a name="ec2-10"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 )

**類別：**保護 > 安全網路組態 > API 私有存取

**嚴重性：**中

**資源類型：** `AWS::EC2::VPC`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html)

**排程類型：**定期

**參數：**
+ `serviceName`：`ec2`（不可自訂）

此控制項會檢查是否已為每個 VPC 建立 Amazon EC2 的服務端點。如果 VPC 沒有為 Amazon EC2 服務建立的 VPC 端點，則控制項會失敗。

此控制項會評估單一帳戶中的資源。它無法描述帳戶外部的資源。由於 AWS Config 和 Security Hub CSPM 不會執行跨帳戶檢查，因此您會看到跨帳戶共用VPCs `FAILED`問題清單。Security Hub CSPM 建議您隱藏這些`FAILED`調查結果。

若要改善 VPC 的安全狀態，您可以將 Amazon EC2 設定為使用介面 VPC 端點。介面端點採用 技術 AWS PrivateLink，可讓您私下存取 Amazon EC2 API 操作。它會將 VPC 和 Amazon EC2 之間的所有網路流量限制在 Amazon 網路。由於端點僅在相同區域內受支援，因此您無法在不同區域中的 VPC 和服務之間建立端點。這可防止對其他 區域的意外 Amazon EC2 API 呼叫。

若要進一步了解如何為 Amazon EC2 建立 VPC 端點，請參閱《[Amazon EC2 使用者指南》中的 Amazon EC2 和界面 VPC 端點](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html)。 *Amazon EC2 *

### 修補
<a name="ec2-10-remediation"></a>

若要從 Amazon VPC 主控台建立 Amazon EC2 的介面端點，請參閱《 *AWS PrivateLink 指南*》中的[建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。針對**服務名稱**，選擇 **com.amazonaws.*region*.ec2**。

您也可以建立端點政策並將其連接至 VPC 端點，以控制對 Amazon EC2 API 的存取。如需建立 VPC 端點政策的說明，請參閱《*Amazon EC2 使用者指南*》中的[建立端點政策](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html#endpoint-policy)。

## 【EC2.12】 應移除未使用的 Amazon EC2 EIPs
<a name="ec2-12"></a>

**相關要求：**PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)

**類別：**保護 > 安全網路組態

**嚴重性：**低

**資源類型：** `AWS::EC2::EIP`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查配置給 VPC 的彈性 IP (EIP) 地址是否連接到 EC2 執行個體或使用中的彈性網路介面 ENIs)。

失敗的問題清單表示您可能有未使用的 EC2 EIPs。

這可協助您在持卡人資料環境 (CDE) 中維持 EIPs的準確資產庫存。

### 修補
<a name="ec2-12-remediation"></a>

若要釋出未使用的 EIP，請參閱《*Amazon EC2 使用者指南*》中的[釋出彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing)。

## 【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22
<a name="ec2-13"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/4.1、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7170r2

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html)

**排程類型：**變更已觸發和定期

**參數：**無

此控制項會檢查 Amazon EC2 安全群組是否允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22。如果安全群組允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 22，則控制項會失敗。

安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。不建議安全群組允許連接埠 22 不受限制的輸入存取。移除與遠端主控台服務 (如 SSH) 的不受限連線能力可降低伺服器暴露在風險中的機會。

### 修補
<a name="ec2-13-remediation"></a>

若要禁止傳入連接埠 22，請移除允許與 VPC 關聯之每個安全群組進行此類存取的規則。如需說明，請參閱《*Amazon EC2 使用者指南*》中的[更新安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)。在 Amazon EC2 主控台中選取安全群組後，選擇**動作、編輯傳入規則**。移除允許存取連接埠 22 的規則。

## 【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389
<a name="ec2-14"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/4.2、PCI DSS v4.0.1/1.3.1

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config rule：**[https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)（建立的規則為 `restricted-rdp`)

**排程類型：**已觸發和定期變更

**參數：**無

此控制項會檢查 Amazon EC2 安全群組是否允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389。如果安全群組允許從 0.0.0.0/0 或 ：：/0 傳入連接埠 3389，則控制項會失敗。

安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。不建議安全群組允許連接埠 3389 不受限制的輸入存取。移除與遠端主控台服務 (如 RDP) 的不受限連線能力可降低伺服器暴露在風險中的機會。

### 修補
<a name="ec2-14-remediation"></a>

若要禁止傳入連接埠 3389，請移除允許與 VPC 關聯之每個安全群組進行此類存取的規則。如需說明，請參閱《*Amazon VPC 使用者指南*》中的[更新安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#updating-security-group-rules)。在 Amazon VPC 主控台中選取安全群組後，選擇**動作、編輯傳入規則**。移除允許存取連接埠 3389 的規則。

## 【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址
<a name="ec2-15"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 網路安全

**嚴重性：**中

**資源類型：** `AWS::EC2::Subnet`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Virtual Private Cloud (Amazon VPC) 子網路是否已設定為自動指派公有 IP 地址。如果子網路設定為自動指派公有 IPv4 或 IPv6 地址，則控制項會失敗。

子網路具有屬性，可判斷網路介面是否自動接收公有 IPv4 和 IPv6 地址。對於 IPv4，對於`TRUE`預設子網路和非預設子網路`FALSE`，此屬性設定為 （透過 EC2 啟動執行個體精靈建立的非預設子網路除外，其設定為 `TRUE`)。對於 IPv6，此屬性預設為所有子網路`FALSE`的 。啟用這些屬性時，在子網路中啟動的執行個體會自動在其主要網路界面上接收對應的 IP 地址 (IPv4 或 IPv6)。

### 修補
<a name="ec2-15-remediation"></a>

若要將子網路設定為不指派公有 IP 地址，請參閱《*Amazon VPC 使用者指南*》中的[修改子網路的 IP 定址屬性](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-public-ip.html)。

## 【EC2.16】 應該移除未使用的網路存取控制清單
<a name="ec2-16"></a>

**相關要求：**NIST.800-53.r5 CM-8(1)、NIST.800-171.r2 3.4.7、PCI DSS v4.0.1/1.2.7

**類別：**保護 > 網路安全

**嚴重性：**低

**資源類型：** `AWS::EC2::NetworkAcl`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查虛擬私有雲端 (VPC) 中是否有任何未使用的網路存取控制清單 （網路 ACLs)。如果網路 ACL 未與子網路建立關聯，則控制項會失敗。控制項不會為未使用的預設網路 ACL 產生問題清單。

控制項會檢查資源的項目組態，`AWS::EC2::NetworkAcl`並判斷網路 ACL 的關係。

如果唯一關係是網路 ACL 的 VPC，則控制項會失敗。

如果列出其他關係，則控制項會通過。

### 修補
<a name="ec2-16-remediation"></a>

如需刪除未使用網路 ACL 的說明，請參閱《*Amazon VPC 使用者指南*》中的[刪除網路 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL)。您無法刪除與子網路相關聯的預設網路 ACL 或 ACL。

## 【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs
<a name="ec2-17"></a>

**相關需求：**NIST.800-53.r5 AC-4(21)

**類別：**保護 > 網路安全

**嚴重性：**低

**資源類型：** `AWS::EC2::Instance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 EC2 執行個體是否使用多個彈性網路界面 (ENIs) 或彈性布料轉接器 (EFAs)。如果使用單一網路轉接器，則此控制項會通過。控制項包含選用參數清單，以識別允許的 ENIs。如果屬於 Amazon EKS 叢集的 EC2 執行個體使用多個 ENI，則此控制項也會失敗。如果您的 EC2 執行個體需要有多個 ENIs 做為 Amazon EKS 叢集的一部分，您可以隱藏這些控制問題清單。

多個 ENIs 可能會導致雙主目錄執行個體，這表示具有多個子網路的執行個體。這可能會增加網路安全複雜性，並導致意外的網路路徑和存取。

### 修補
<a name="ec2-17-remediation"></a>

若要從 EC2 執行個體分離網路介面，請參閱《*Amazon EC2 使用者指南*》中的[從執行個體分離網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#detach_eni)。

## 【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量
<a name="ec2-18"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.20、NIST-1020.10

**類別：**保護 > 安全網路組態 > 安全群組組態

**嚴重性：**高

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `authorizedTcpPorts`  |  授權的 TCP 連接埠清單  |  IntegerList （最少 1 個項目，最多 32 個項目）  |  `1` 至 `65535`  |  `[80,443]`  | 
|  `authorizedUdpPorts`  |  授權 UDP 連接埠的清單  |  IntegerList （最少 1 個項目，最多 32 個項目）  |  `1` 至 `65535`  |  無預設值  | 

此控制項會檢查 Amazon EC2 安全群組是否允許來自未經授權連接埠的無限制傳入流量。控制狀態的判斷方式如下：
+ 如果您使用 的預設值`authorizedTcpPorts`，則如果安全群組允許來自連接埠 80 和 443 以外任何連接埠的無限制傳入流量，則控制項會失敗。
+ 如果您為 `authorizedTcpPorts`或 提供自訂值`authorizedUdpPorts`，則如果安全群組允許來自任何未列出連接埠的無限制傳入流量，則控制項會失敗。

安全群組提供傳入和傳出網路流量到 的狀態篩選 AWS。安全群組規則應遵循最低權限存取的主體。無限制存取 (IP 地址尾碼為 /0) 會增加惡意活動的機會，例如駭客入侵、denial-of-service攻擊和資料遺失。除非特別允許連接埠，否則連接埠應拒絕不受限制的存取。

### 修補
<a name="ec2-18-remediation"></a>

若要修改安全群組，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-groups.html)。

## 【EC2.19】 安全群組不應允許無限制存取高風險的連接埠
<a name="ec2-19"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 3.1.20

**類別：**保護 > 受限制的網路存取

**嚴重性：**嚴重

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config rule：**[https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html)（建立的規則為 `vpc-sg-restricted-common-ports`)

**排程類型：**變更已觸發和定期

**參數：** `"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"` （不可自訂）

此控制項會檢查 Amazon EC2 安全群組的無限制傳入流量是否可供被視為高風險的指定連接埠存取。如果安全群組中的任何規則允許從 '0.0.0.0/0' 或 '：：/0' 傳入流量到這些連接埠，則此控制會失敗。

安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。無限制存取 (0.0.0.0/0) 會增加惡意活動的機會，例如駭客入侵、denial-of-service攻擊和資料遺失。安全群組不應允許無限制的傳入存取下列連接埠：
+ 20、21 (FTP)
+ 22 (SSH)
+ 23 (Telnet)
+ 25 (SMTP)
+ 110 (POP3)
+ 135 (RPC)
+ 143 (IMAP)
+ 445 (CIFS)
+ 1433、1434 (MSSQL)
+ 3000 (Go、Node.js 和 Ruby Web 開發架構）
+ 3306 (mySQL)
+ 3389 (RDP)
+ 4333 (ahsp)
+ 5000 (Python Web 開發架構）
+ 5432 (postgresql)
+ 5500 (fcp-addr-srvr1) 
+ 5601 (OpenSearch 儀表板）
+ 8080 （代理）
+ 8088 （舊版 HTTP 連接埠）
+ 8888 （替代 HTTP 連接埠）
+ 9200 或 9300 (OpenSearch)

### 修補
<a name="ec2-19-remediation"></a>

若要從安全群組刪除規則，請參閱《*Amazon EC2 使用者指南*》中的[從安全群組刪除規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#deleting-security-group-rule)。

## 【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動
<a name="ec2-20"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)、NIST.800-171.r2 3.1.13、NIST.800-171.r2 3.1.20

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中 

**資源類型：**`AWS::EC2::VPNConnection`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html)

**排程類型：**已觸發變更

**參數：**無

VPN 通道是一種加密連結，其中資料可以從客戶網路傳入或傳出 AWS an AWS Site-to-Site VPN 連接。每個 VPN 連接包含兩個 VPN 通道，您可以同時使用這些通道以獲得高可用性。確保兩個 VPN 通道都適用於 VPN 連線，對於確認 AWS VPC 和遠端網路之間的安全且高可用性連線至關重要。

此控制項會檢查 AWS Site-to-Site VPN 通道都處於 UP 狀態。如果一個或兩個通道處於 DOWN 狀態，則控制項會失敗。

### 修補
<a name="ec2-20-remediation"></a>

若要修改 VPN 通道選項，請參閱[Site-to-Site使用者指南》中的修改站台對站台 VPN 通道選項](https://docs.aws.amazon.com/vpn/latest/s2svpn/modify-vpn-tunnel-options.html)。 AWS Site-to-Site 

## 【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389
<a name="ec2-21"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/5.2、CIS AWS Foundations Benchmark v1.4.0/5.1、CIS AWS Foundations Benchmark v3.0.0/5.1、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-753.r5 SC-7(7)、NIST.8NIST.800-53.r5 SC-7 3.1.20

**類別：**保護 > 安全網路組態

**嚴重性：**中 

**資源類型：**`AWS::EC2::NetworkAcl`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html](https://docs.aws.amazon.com/config/latest/developerguide/nacl-no-unrestricted-ssh-rdp.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查網路存取控制清單 （網路 ACL) 是否允許無限制存取 SSH/RDP 輸入流量的預設 TCP 連接埠。如果網路 ACL 傳入項目允許 TCP 連接埠 22 或 3389 的來源 CIDR 區塊為 '0.0.0.0/0' 或 '：：/0'，則控制項會失敗。控制項不會產生預設網路 ACL 的問題清單。

存取遠端伺服器管理連接埠，例如連接埠 22 (SSH) 和連接埠 3389 (RDP)，不應公開存取，因為這可能會允許意外存取 VPC 中的資源。

### 修補
<a name="ec2-21-remediation"></a>

若要編輯網路 ACL 流量規則，請參閱《*Amazon VPC 使用者指南*[》中的使用網路 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)。

## 【EC2.22】 應移除未使用的 Amazon EC2 安全群組
<a name="ec2-22"></a>

**類別：**識別 > 清查

**嚴重性：**中 

**資源類型：**`AWS::EC2::NetworkInterface`、 `AWS::EC2::SecurityGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni-periodic.html)

**排程類型：**定期

**參數：**無

此控制項會檢查安全群組是否連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或彈性網路界面。如果安全群組未與 Amazon EC2 執行個體或彈性網路介面建立關聯，則控制項會失敗。

**重要**  
2023 年 9 月 20 日，Security Hub CSPM 將此控制項從 AWS 基礎安全最佳實務和 NIST SP 800-53 修訂版 5 標準中移除。此控制項仍是 AWS Control Tower 服務受管標準的一部分。如果安全群組連接到 EC2 執行個體或彈性網路界面，此控制項會產生傳遞的問題清單。不過，對於某些使用案例，未連接的安全群組不會構成安全風險。您可以使用其他 EC2 控制項，例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19，來監控您的安全群組。

### 修補
<a name="ec2-22-remediation"></a>

若要建立、指派和刪除安全群組，請參閱《Amazon [ EC2 使用者指南》中的 EC2 執行個體的安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html)。 *Amazon EC2 *

## 【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求
<a name="ec2-23"></a>

**相關需求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**高 

**資源類型：**`AWS::EC2::TransitGateway`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-transit-gateway-auto-vpc-attach-disabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 EC2 傳輸閘道是否自動接受共用 VPC 連接。對於自動接受共用 VPC 連接請求的傳輸閘道，此控制失敗。

開啟 會將傳輸閘道`AutoAcceptSharedAttachments`設定為自動接受任何跨帳戶 VPC 連接請求，而無需驗證請求或連接來源的帳戶。為了遵循授權和身分驗證的最佳實務，我們建議關閉此功能，以確保只接受授權的 VPC 連接請求。

### 修補
<a name="ec2-23-remediation"></a>

若要修改傳輸閘道，請參閱《Amazon VPC 開發人員指南》中的[修改傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#tgw-modifying)。

## 【EC2.24】 不應使用 Amazon EC2 全虛擬化執行個體類型
<a name="ec2-24"></a>

**相關要求：**NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中 

**資源類型：**`AWS::EC2::Instance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-paravirtual-instance-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 EC2 執行個體的虛擬化類型是否為全虛擬化。如果 EC2 執行個體`virtualizationType`的 設定為 ，則控制項會失敗`paravirtual`。

Linux Amazon Machine Image (AMIs) 使用兩種虛擬化類型之一：全虛擬化 (PV) 或硬體虛擬機器 (HVM)。PV 和 HVM AMI 之間的主要區別在於開機的方式以及是否可以利用特殊的硬體延伸 (CPU、網路和儲存) 來獲得更好的效能。

歷史上，在許多情況下，PV 訪客比 HVM 訪客具有更好的效能，但由於 HVM 虛擬化中的增強以及 HVM AMI 之 PV 驅動程式的可用性，這已不再成立。如需詳細資訊，請參閱《Amazon EC2 使用者指南》中的 [Linux AMI 虛擬化類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/virtualization_types.html)。

### 修補
<a name="ec2-24-remediation"></a>

若要將 EC2 執行個體更新為新的執行個體類型，請參閱《*Amazon EC2 使用者指南*》中的[變更執行個體類型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)。

## 【EC2.25】 Amazon EC2 啟動範本不應將公IPs 指派給網路介面
<a name="ec2-25"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高 

**資源類型：**`AWS::EC2::LaunchTemplate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-public-ip-disabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EC2 啟動範本是否設定為在啟動時將公有 IP 地址指派給網路介面。如果 EC2 啟動範本設定為將公有 IP 地址指派給網路介面，或至少有一個具有公有 IP 地址的網路介面，則控制項會失敗。

公有 IP 地址是從網際網路連線的地址。如果您使用公有 IP 地址設定網路介面，則可以從網際網路存取與這些網路介面相關聯的資源。EC2 資源不應公開存取，因為這可能會允許意外存取您的工作負載。

### 修補
<a name="ec2-25-remediation"></a>

若要更新 EC2 啟動範本，請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[變更預設網路介面設定](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-launch-template.html#change-network-interface)。

## 【EC2.28】 備份計畫應涵蓋 EBS 磁碟區
<a name="ec2-28"></a>

**類別：**復原 > 恢復 > 備份已啟用

**相關需求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**嚴重性：**低

**資源類型：** `AWS::EC2::Volume`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-resources-protected-by-backup-plan.html) ``

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  如果 參數設定為 `true`且資源使用 AWS Backup 保存庫鎖定，則控制項會產生`PASSED`問題清單。  |  Boolean  |  `true` 或 `false` \$1  |  無預設值  | 

此控制項會評估備份計畫是否涵蓋處於 `in-use` 狀態的 Amazon EBS 磁碟區。如果備份計劃未涵蓋 EBS 磁碟區，則控制項會失敗。如果您將 `backupVaultLockCheck` 參數設定為等於 `true`，則只有在 AWS Backup 鎖定的保存庫中備份 EBS 磁碟區時，控制項才會通過。

備份可協助您更快地從安全事件中復原。它們也會強化您系統的彈性。在備份計畫中包含 Amazon EBS 磁碟區可協助您保護資料免於意外遺失或刪除。

### 修補
<a name="ec2-28-remediation"></a>

若要將 Amazon EBS 磁碟區新增至 AWS Backup 備份計劃，請參閱《 *AWS Backup 開發人員指南*》中的[將資源指派給備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## 【EC2.33】 EC2 傳輸閘道附件應加上標籤
<a name="ec2-33"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::TransitGatewayAttachment`

**AWS Config rule：**`tagged-ec2-transitgatewayattachment`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 傳輸閘道連接是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果傳輸閘道連接沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果傳輸閘道連接未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-33-remediation"></a>

若要將標籤新增至 EC2 傳輸閘道附件，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.34】 EC2 傳輸閘道路由表應加上標籤
<a name="ec2-34"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::TransitGatewayRouteTable`

**AWS Config rule：**`tagged-ec2-transitgatewayroutetable`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 傳輸閘道路由表是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果傳輸閘道路由表沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果傳輸閘道路由表未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-34-remediation"></a>

若要將標籤新增至 EC2 傳輸閘道路由表，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.35】 EC2 網路介面應加上標籤
<a name="ec2-35"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::NetworkInterface`

**AWS Config rule：**`tagged-ec2-networkinterface`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 網路介面是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果網路介面沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果網路界面未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-35-remediation"></a>

若要將標籤新增至 EC2 網路介面，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.36】 EC2 客戶閘道應加上標籤
<a name="ec2-36"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::CustomerGateway`

**AWS Config rule：**`tagged-ec2-customergateway`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 客戶閘道是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果客戶閘道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果客戶閘道未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-36-remediation"></a>

若要將標籤新增至 EC2 客戶閘道，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.37】 EC2 彈性 IP 地址應加上標籤
<a name="ec2-37"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::EIP`

**AWS Config rule：**`tagged-ec2-eip`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 彈性 IP 地址是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果彈性 IP 地址沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果彈性 IP 地址未標記任何索引鍵，則 控制項會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-37-remediation"></a>

若要將標籤新增至 EC2 彈性 IP 地址，請參閱《[Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。 *Amazon EC2 *

## 【EC2.38】 EC2 執行個體應加上標籤
<a name="ec2-38"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::Instance`

**AWS Config rule：**`tagged-ec2-instance`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 執行個體是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果執行個體沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果執行個體未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-38-remediation"></a>

若要將標籤新增至 EC2 執行個體，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.39】 EC2 網際網路閘道應加上標籤
<a name="ec2-39"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::InternetGateway`

**AWS Config rule：**`tagged-ec2-internetgateway`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 網際網路閘道是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果網際網路閘道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果網際網路閘道未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-39-remediation"></a>

若要將標籤新增至 EC2 網際網路閘道，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.40】 EC2 NAT 閘道應加上標籤
<a name="ec2-40"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::NatGateway`

**AWS Config rule：**`tagged-ec2-natgateway`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 網路位址轉譯 (NAT) 閘道是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 NAT 閘道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果 NAT 閘道未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-40-remediation"></a>

若要將標籤新增至 EC2 NAT 閘道，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.41】 EC2 網路 ACLs 應加上標籤
<a name="ec2-41"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::NetworkAcl`

**AWS Config rule：**`tagged-ec2-networkacl`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 網路存取控制清單 （網路 ACL) 是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果網路 ACL 沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果網路 ACL 未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-41-remediation"></a>

若要將標籤新增至 EC2 網路 ACL，請參閱《[Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console)。 *Amazon EC2 *

## 【EC2.42】 EC2 路由表應加上標籤
<a name="ec2-42"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::RouteTable`

**AWS Config rule：**`tagged-ec2-routetable`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 路由表是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果路由表沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果路由表未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-42-remediation"></a>

若要將標籤新增至 EC2 路由表，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.43】 EC2 安全群組應加上標籤
<a name="ec2-43"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config rule：**`tagged-ec2-securitygroup`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 安全群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果安全群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果安全群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-43-remediation"></a>

若要將標籤新增至 EC2 安全群組，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.44】 EC2 子網路應加上標籤
<a name="ec2-44"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::Subnet`

**AWS Config rule：**`tagged-ec2-subnet`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 子網路是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果子網路沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果子網路未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-44-remediation"></a>

若要將標籤新增至 EC2 子網路，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.45】 EC2 磁碟區應加上標籤
<a name="ec2-45"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::Volume`

**AWS Config rule：**`tagged-ec2-volume`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 磁碟區是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果磁碟區沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果磁碟區未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-45-remediation"></a>

若要將標籤新增至 EC2 磁碟區，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.46】 Amazon VPCs應加上標籤
<a name="ec2-46"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::VPC`

**AWS Config rule：**`tagged-ec2-vpc`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Virtual Private Cloud (Amazon VPC) 是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 Amazon VPC 沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果 Amazon VPC 未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-46-remediation"></a>

若要將標籤新增至 VPC，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.47】 Amazon VPC 端點服務應加上標籤
<a name="ec2-47"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::VPCEndpointService`

**AWS Config rule：**`tagged-ec2-vpcendpointservice`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon VPC 端點服務是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果端點服務沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果端點服務未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-47-remediation"></a>

若要將標籤新增至 Amazon VPC 端點服務，請參閱[《 指南》中的設定端點服務一節中的管理標籤](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-endpoint-service-tags)。 [https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html) *AWS PrivateLink *

## 【EC2.48】 Amazon VPC 流程日誌應加上標籤
<a name="ec2-48"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::FlowLog`

**AWS Config rule：**`tagged-ec2-flowlog`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon VPC 流程日誌是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果流程日誌沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果流程日誌未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-48-remediation"></a>

若要將標籤新增至 Amazon VPC 流程日誌，請參閱《*Amazon VPC 使用者指南*》中的[標記流程日誌](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html#modify-tags-flow-logs)。

## 【EC2.49】 Amazon VPC 對等互連應加上標籤
<a name="ec2-49"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::VPCPeeringConnection`

**AWS Config rule：**`tagged-ec2-vpcpeeringconnection`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon VPC 互連連線是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果對等連線沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果對等連線未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-49-remediation"></a>

若要將標籤新增至 Amazon VPC 對等互連，請參閱[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *Amazon EC2 *資源。

## 【EC2.50】 EC2 VPN 閘道應加上標籤
<a name="ec2-50"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::VPNGateway`

**AWS Config rule：**`tagged-ec2-vpngateway`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 VPN 閘道是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 VPN 閘道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果 VPN 閘道未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-50-remediation"></a>

若要將標籤新增至 EC2 VPN 閘道，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *Amazon EC2 *資源。

## 【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄
<a name="ec2-51"></a>

**相關需求：**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、NIST.AU-65 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7 3.1.12 3.1.2010.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**低

**資源類型：** `AWS::EC2::ClientVpnEndpoint`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-client-vpn-connection-log-enabled.html) ``

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS Client VPN 端點是否已啟用用戶端連線記錄。如果端點未啟用用戶端連線記錄，則控制項會失敗。

Client VPN 端點可讓遠端用戶端安全地連線至其中 Virtual Private Cloud (VPC) 中的資源 AWS。連線日誌可讓您追蹤 VPN 端點上的使用者活動，並提供可見性。啟用連線日誌記錄時，您可以在日誌群組中指定日誌串流的名稱。如果您未指定日誌串流，Client VPN 服務會為您建立一個。

### 修補
<a name="ec2-51-remediation"></a>

若要啟用連線記錄，請參閱《 *AWS Client VPN 管理員指南*》中的[啟用現有 Client VPN 端點的連線記錄](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html#create-connection-log-existing)。

## 【EC2.52】 EC2 傳輸閘道應加上標籤
<a name="ec2-52"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::TransitGateway`

**AWS Config rule：**`tagged-ec2-transitgateway`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon EC2 傳輸閘道是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果傳輸閘道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果傳輸閘道未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ec2-52-remediation"></a>

若要將標籤新增至 EC2 傳輸閘道，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_Console) *Amazon EC2 *資源。

## 【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠
<a name="ec2-53"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/5.3、CIS AWS Foundations Benchmark v3.0.0/5.2、PCI DSS v4.0.1/1.3.1

**類別：**保護 > 安全網路組態 > 安全群組組態

**嚴重性：**高

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  IP 版本  |  String  |  無法自訂  |  `IPv4`  | 
|  `restrictPorts`  |  應拒絕輸入流量的連接埠清單  |  IntegerList  |  無法自訂  |  `22,3389`  | 

此控制項會檢查 Amazon EC2 安全群組是否允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠 （連接埠 22 和 3389)。如果安全群組允許從 0.0.0.0/0 傳入連接埠 22 或 3389，則控制項會失敗。

安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。我們建議安全群組不允許使用 TDP (6)、UDP (17) 或 ALL (-1) 通訊協定，對遠端伺服器管理連接埠進行不受限制的傳入存取，例如 SSH 對連接埠 22 和 RDP 對連接埠 3389。允許公開存取這些連接埠會增加資源攻擊面和資源入侵的風險。

### 修補
<a name="ec2-53-remediation"></a>

若要更新 EC2 安全群組規則以禁止將流量傳入指定的連接埠，請參閱《*Amazon EC2 使用者指南*》中的[更新安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)。在 Amazon EC2 主控台中選取安全群組後，選擇**動作、編輯傳入規則**。移除允許存取連接埠 22 或連接埠 3389 的規則。

## 【EC2.54】 EC2 安全群組不應允許從 ：：/0 傳入遠端伺服器管理連接埠
<a name="ec2-54"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/5.4、CIS AWS Foundations Benchmark v3.0.0/5.3、PCI DSS v4.0.1/1.3.1

**類別：**保護 > 安全網路組態 > 安全群組組態

**嚴重性：**高

**資源類型：** `AWS::EC2::SecurityGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-port-restriction-check.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `ipType`  |  IP 版本  |  String  |  無法自訂  |  `IPv6`  | 
|  `restrictPorts`  |  應拒絕輸入流量的連接埠清單  |  IntegerList  |  無法自訂  |  `22,3389`  | 

此控制項會檢查 Amazon EC2 安全群組是否允許從 ：：/0 傳入遠端伺服器管理連接埠 （連接埠 22 和 3389)。如果安全群組允許從 ：：/0 傳入連接埠 22 或 3389，則控制項會失敗。

安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。我們建議安全群組不允許使用 TDP (6)、UDP (17) 或 ALL (-1) 通訊協定，對遠端伺服器管理連接埠進行不受限制的傳入存取，例如 SSH 對連接埠 22 和 RDP 對連接埠 3389。允許公開存取這些連接埠會增加資源攻擊面和資源入侵的風險。

### 修補
<a name="ec2-54-remediation"></a>

若要更新 EC2 安全群組規則以禁止將流量傳入指定的連接埠，請參閱《*Amazon EC2 使用者指南*》中的[更新安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#updating-security-group-rules)。在 Amazon EC2 主控台中選取安全群組後，選擇**動作、編輯傳入規則**。移除允許存取連接埠 22 或連接埠 3389 的規則。

## 【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定
<a name="ec2-55"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：**`AWS::EC2::VPC`、 `AWS::EC2::VPCEndpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 必要 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必要  | 控制項評估的服務名稱  | String  | 無法自訂  | ecr.api | 
| vpcIds  | 選用  | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供，則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點，則控制項會失敗。 | StringList  | 使用一或多個 VPC IDs自訂  | 無預設值  | 

此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有 Amazon ECR API 的介面 VPC 端點。如果 VPC 沒有 ECR API 的介面 VPC 端點，則控制項會失敗。此控制項會評估單一帳戶中的資源。

AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務，同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務，而無需使用公IPs，也不需要流量周遊網際網路。

### 修補
<a name="ec2-55-remediation"></a>

若要設定 VPC 端點，請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用界面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 。

## 【EC2.56】 VPCs應使用 Docker Registry 的介面端點進行設定
<a name="ec2-56"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-715 NIST.800-53.r5 SC-7 .

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：**`AWS::EC2::VPC`、 `AWS::EC2::VPCEndpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 必要 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必要  | 控制項評估的服務名稱  | String  | 無法自訂  | ecr.dkr | 
| vpcIds  | 選用  | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供，則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點，則控制項會失敗。 | StringList  | 使用一或多個 VPC IDs自訂  | 無預設值  | 

此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有 Docker Registry 的介面 VPC 端點。如果 VPC 沒有 Docker 登錄檔的介面 VPC 端點，則控制項會失敗。此控制項會評估單一帳戶中的資源。

AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務，同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務，而無需使用公IPs，也不需要流量周遊網際網路。

### 修補
<a name="ec2-56-remediation"></a>

若要設定 VPC 端點，請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用介面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 。

## 【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定
<a name="ec2-57"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：**`AWS::EC2::VPC`、 `AWS::EC2::VPCEndpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 必要 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必要  | 控制項評估的服務名稱  | String  | 無法自訂  | ssm | 
| vpcIds  | 選用  | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供，則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點，則控制項會失敗。 | StringList  | 使用一或多個 VPC IDs自訂  | 無預設值  | 

此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有介面 VPC 端點 AWS Systems Manager。如果 VPC 沒有 Systems Manager 的介面 VPC 端點，則控制項會失敗。此控制項會評估單一帳戶中的資源。

AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務，同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務，而無需使用公IPs，也不需要流量周遊網際網路。

### 修補
<a name="ec2-57-remediation"></a>

若要設定 VPC 端點，請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用介面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 。

## 【EC2.58】 VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定
<a name="ec2-58"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：**`AWS::EC2::VPC`、 `AWS::EC2::VPCEndpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 必要 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必要  | 控制項評估的服務名稱  | String  | 無法自訂  | ssm-contacts | 
| vpcIds  | 選用  | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供，則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點，則控制項會失敗。 | StringList  | 使用一或多個 VPC IDs自訂  | 無預設值  | 

此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有 AWS Systems Manager Incident Manager Contacts 的介面 VPC 端點。如果 VPC 沒有 Systems Manager Incident Manager Contacts 的介面 VPC 端點，則控制項會失敗。此控制項會評估單一帳戶中的資源。

AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務，同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務，而無需使用公IPs，也不需要流量周遊網際網路。

### 修補
<a name="ec2-58-remediation"></a>

若要設定 VPC 端點，請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用介面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 。

## 【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定
<a name="ec2-60"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 5

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：**`AWS::EC2::VPC`、 `AWS::EC2::VPCEndpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/vpc-endpoint-enabled.html)

**排程類型：**定期

**參數：**


| 參數 | 必要 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | --- | 
| serviceNames  | 必要  | 控制項評估的服務名稱  | String  | 無法自訂  | ssm-incidents | 
| vpcIds  | 選用  | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供，則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點，則控制項會失敗。 | StringList  | 使用一或多個 VPC IDs自訂  | 無預設值  | 

此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有 AWS Systems Manager Incident Manager 的介面 VPC 端點。如果 VPC 沒有 Systems Manager Incident Manager 的介面 VPC 端點，則控制項會失敗。此控制項會評估單一帳戶中的資源。

AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務，同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務，而無需使用公IPs，也不需要流量周遊網際網路。

### 修補
<a name="ec2-60-remediation"></a>

若要設定 VPC 端點，請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 使用介面 VPC 端點存取](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 。

## 【EC2.170】 EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2)
<a name="ec2-170"></a>

**相關要求：**PCI DSS v4.0.1/2.2.6

**類別：**保護 > 網路安全

**嚴重性：**低

**資源類型：** `AWS::EC2::LaunchTemplate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-imdsv2-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已使用執行個體中繼資料服務第 2 版 (IMDSv2) 設定 Amazon EC2 啟動範本。IMDSv2 如果 `HttpTokens`設定為 ，則控制項會失敗`optional`。

在支援的軟體版本上執行資源可確保最佳效能、安全性和最新功能的存取。定期更新可防範漏洞，這有助於確保穩定且有效率的使用者體驗。

### 修補
<a name="ec2-170-remediation"></a>

若要在 EC2 啟動範本上要求 IMDSv2，請參閱《*Amazon EC2 使用者指南*》中的[設定執行個體中繼資料服務選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)。

## 【EC2.171】 EC2 VPN 連線應該已啟用記錄
<a name="ec2-171"></a>

**相關要求：**CIS AWS Foundations Benchmark v3.0.0/5.3、PCI DSS v4.0.1/10.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::EC2::VPNConnection`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-vpn-connection-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查這兩個通道是否已啟用 AWS Site-to-SiteAmazon CloudWatch Logs。如果Site-to-Site通道都未啟用 CloudWatch Logs，則控制項會失敗。

AWS Site-to-Site日誌可讓您更深入了解Site-to-Site VPN 部署。透過此功能，您可以存取站台對站台 VPN 連接日誌，其中提供 IP 安全性 (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉，以及失效對等偵測 (DPD) 通訊協定訊息的詳細資料。Site-to-Site日誌可以發佈到 CloudWatch Logs。此功能為客戶提供一個一致的方式，來存取和分析其所有站台對站台 VPN 連接的詳細日誌。

### 修補
<a name="ec2-171-remediation"></a>

若要在 EC2 VPN 連接上啟用通道記錄，請參閱[AWS Site-to-Site使用者指南》中的站台對站台 VPN 日誌](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html#enable-logs)。 *AWS Site-to-Site *

## 【EC2.172】 EC2 VPC 封鎖公開存取設定應封鎖網際網路閘道流量
<a name="ec2-172"></a>

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**中

**資源類型：** `AWS::EC2::VPCBlockPublicAccessOptions`

**AWS Config rule：**`ec2-vpc-bpa-internet-gateway-blocked`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `vpcBpaInternetGatewayBlockMode`  |  VPC BPA 選項模式的字串值。  |  列舉  |  `block-bidirectional`, `block-ingress`  |  無預設值  | 

此控制項會檢查 Amazon EC2 VPC 封鎖公開存取 (BPA) 設定是否設定為封鎖 中所有 Amazon VPCs網際網路閘道流量 AWS 帳戶。如果未將 VPC BPA 設定設定為封鎖網際網路閘道流量，則控制項會失敗。若要傳遞控制項，VPC BPA `InternetGatewayBlockMode` 必須設定為 `block-bidirectional`或 `block-ingress`。如果`vpcBpaInternetGatewayBlockMode`提供 參數，則只有在 的 VPC BPA 值`InternetGatewayBlockMode`符合 參數時，控制項才會通過。

在 中為您的帳戶設定 VPC BPA 設定， AWS 區域 可讓您封鎖在該區域中擁有VPCs 和子網路中的資源，使其無法透過網際網路閘道和僅限輸出網際網路閘道從網際網路到達或到達。如果您需要特定的 VPCs和子網路才能從網際網路連線或存取，您可以透過設定 VPC BPA 排除來排除它們。如需建立和刪除排除的指示，請參閱《*Amazon VPC 使用者指南*》中的[建立和刪除排除](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions)。

### 修補
<a name="ec2-172-remediation"></a>

若要在帳戶層級啟用雙向 BPA，請參閱《*Amazon VPC 使用者指南*》中的[為您的帳戶啟用 BPA 雙向模式](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-enable-bidir)。若要啟用僅限輸入 BPA，請參閱[將 VPC BPA 模式變更為僅限輸入](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-ingress-only)。若要在組織層級啟用 VPC BPA，請參閱[在組織層級啟用 VPC BPA](https://docs.aws.amazon.com/vpc/latest/userguide/security-vpc-bpa-basics.html#security-vpc-bpa-exclusions-orgs)。

## 【EC2.173】 具有啟動參數的 EC2 Spot 機群請求應啟用已連接 EBS 磁碟區的加密
<a name="ec2-173"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EC2::SpotFleet`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-spot-fleet-request-ct-encryption-at-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查指定啟動參數的 Amazon EC2 Spot Fleet 請求是否設定為為所有連接至 EC2 執行個體的 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密。如果 Spot Fleet 請求指定啟動參數，且未啟用請求中指定的一或多個 EBS 磁碟區的加密，則控制項會失敗。

為了多一層安全性，您應該啟用 Amazon EBS 磁碟區的加密。然後，加密操作會在託管 Amazon EC2 執行個體的伺服器上進行，這有助於確保靜態資料和執行個體與其連接的 EBS 儲存體之間傳輸中資料的安全性。Amazon EBS 加密是一種直接的加密解決方案，適用於與 EC2 執行個體相關聯的 EBS 資源。透過 EBS 加密，您不需要建置、維護和保護自己的金鑰管理基礎設施。建立加密磁碟區 AWS KMS keys 時，EBS 加密會使用 。

**備註**  
此控制項不會為使用啟動範本的 Amazon EC2 Spot Fleet 請求產生問題清單。它也不會為未明確指定 `encrypted` 參數值的 Spot Fleet 請求產生問題清單。

### 修補
<a name="ec2-173-remediation"></a>

無法直接加密現有的未加密 Amazon EBS 磁碟區。您只能在建立磁碟區時加密新磁碟區。

不過，如果您預設啟用加密，Amazon EBS 會使用 EBS 加密的預設金鑰來加密新磁碟區。如果您未預設啟用加密，您可以在建立個別磁碟區時啟用加密。在這兩種情況下，您可以覆寫 EBS 加密的預設金鑰，並選擇客戶受管的 AWS KMS key。如需 EBS 加密的詳細資訊，請參閱《[Amazon EBS 使用者指南》中的 Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **

如需有關建立 Amazon EC2 Spot 機群請求的資訊，請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[建立 Spot 機群](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-spot-fleet.html)。

## 【EC2.174】 EC2 DHCP 選項集應加上標籤
<a name="ec2-174"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::DHCPOptions`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-dhcp-options-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon EC2 DHCP 選項集是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果選項集沒有任何標籤索引鍵，或它沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果選項集沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ec2-174-remediation"></a>

如需有關將標籤新增至 Amazon EC2 DHCP 選項集的資訊，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *Amazon EC2 *資源。

## 【EC2.175】 EC2 啟動範本應加上標籤
<a name="ec2-175"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::LaunchTemplate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-template-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon EC2 啟動範本是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果啟動範本沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果啟動範本沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ec2-175-remediation"></a>

如需將標籤新增至 Amazon EC2 啟動範本的詳細資訊，請參閱[Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。 *Amazon EC2 *

## 【EC2.176】 EC2 字首清單應加上標籤
<a name="ec2-176"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::PrefixList`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-prefix-list-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon EC2 字首清單是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果字首清單沒有任何標籤索引鍵，或者它沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果字首清單沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ec2-176-remediation"></a>

如需有關將標籤新增至 Amazon EC2 字首清單的資訊，請參閱《[Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。 *Amazon EC2 *

## 【EC2.177】 應標記 EC2 流量鏡像工作階段
<a name="ec2-177"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::TrafficMirrorSession`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-session-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤金鑰清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon EC2 流量鏡像工作階段是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果工作階段沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果工作階段沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ec2-177-remediation"></a>

如需有關將標籤新增至 Amazon EC2 流量鏡像工作階段的資訊，請參閱《[Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。 *Amazon EC2 *

## 【EC2.178】 應標記 EC2 流量鏡像篩選條件
<a name="ec2-178"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::TrafficMirrorFilter`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-filter-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤金鑰清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon EC2 流量鏡像篩選條件是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果篩選條件沒有任何標籤索引鍵，或者它沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果篩選條件沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ec2-178-remediation"></a>

如需有關將標籤新增至 Amazon EC2 流量鏡像篩選條件的資訊，請參閱《[Amazon EC2 使用者指南》中的標記您的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *Amazon EC2 *資源。

## 【EC2.179】 應標記 EC2 流量鏡像目標
<a name="ec2-179"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EC2::TrafficMirrorTarget`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-traffic-mirror-target-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤金鑰清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon EC2 流量鏡像目標是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果目標沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果目標沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ec2-179-remediation"></a>

如需將標籤新增至 Amazon EC2 流量鏡像目標的詳細資訊，請參閱《[Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)。 *Amazon EC2 *

## 【EC2.180】 EC2 網路介面應啟用來源/目的地檢查
<a name="ec2-180"></a>

**類別：**保護 > 網路安全

**嚴重性：**中

**資源類型：** `AWS::EC2::NetworkInterface`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-enis-source-destination-check-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否針對由使用者管理的 Amazon EC2 彈性網路介面 (ENI) 啟用來源/目的地檢查。如果停用使用者受管 ENI 的來源/目的地檢查，則控制項會失敗。此控制項只會檢查下列 ENIs 類型：`aws_codestar_connections_managed`、`branch`、`efa``interface`、、 `lambda`和 `quicksight`。

Amazon EC2 執行個體和連接的 ENIs 的來源/目的地檢查應該在整個 EC2 執行個體中一致地啟用和設定。每個 ENI 都有自己的來源/目的地檢查設定。如果已啟用來源/目的地檢查，Amazon EC2 會強制執行來源/目的地地址驗證，以確保執行個體是其接收的任何流量的來源或目的地。這透過防止資源處理意外流量和防止 IP 地址詐騙，提供額外的網路安全層。

**注意**  
如果您使用 EC2 執行個體做為 NAT 執行個體，且已停用其 ENI 的來源/目的地檢查，則可以改用 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)。

### 修補
<a name="ec2-180-remediation"></a>

如需有關啟用 Amazon EC2 ENI 來源/目的地檢查的資訊，請參閱《*Amazon EC2 使用者指南*》中的[修改網路介面屬性](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/modify-network-interface-attributes.html#modify-source-dest-check)。

## 【EC2.181】 EC2 啟動範本應為連接的 EBS 磁碟區啟用加密
<a name="ec2-181"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EC2::LaunchTemplate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-launch-templates-ebs-volume-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EC2 啟動範本是否啟用所有連接 EBS 磁碟區的加密。如果 EC2 啟動範本指定的任何 EBS `False` 磁碟區將加密參數設為 ，則控制項會失敗。

Amazon EBS 加密是直接加密解決方案，適用於與 Amazon EC2 執行個體相關聯的 EBS 資源。透過 EBS 加密，您不需要建置、維護和保護自己的金鑰管理基礎設施。建立加密磁碟區和快照 AWS KMS keys 時，EBS 加密會使用 。加密操作會在託管 EC2 執行個體的伺服器上進行，這有助於確保 EC2 執行個體與其連接的 EBS 儲存體之間靜態資料和傳輸中資料的安全性。如需詳細資訊，請參閱「Amazon EBS 使用者指南」**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。

您可以在手動啟動個別 EC2 執行個體期間啟用 EBS 加密。不過，使用 EC2 啟動範本和在這些範本中設定加密設定有幾個好處。您可以強制執行加密作為標準，並確保使用一致的加密設定。您也可以降低手動啟動執行個體時可能發生的錯誤和安全漏洞風險。

**注意**  
當此控制項檢查 EC2 啟動範本時，只會評估範本明確指定的 EBS 加密設定。評估不包含繼承自帳戶層級 EBS 加密設定、AMI 區塊型設備映射或來源快照加密狀態的加密設定。

### 修補
<a name="ec2-181-remediation"></a>

建立 Amazon EC2 啟動範本之後，您就無法修改它。不過，您可以建立新的啟動範本版本，並變更該新範本版本中的加密設定。您也可以指定新版本做為啟動範本的預設版本。然後，如果您從啟動範本啟動 EC2 執行個體，但未指定範本版本，EC2 會在啟動執行個體時使用預設版本的設定。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[修改啟動範本](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html)。

## 【EC2.182】 不應公開存取 Amazon EBS 快照
<a name="ec2-182"></a>

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::EC2::SnapshotBlockPublicAccess`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-block-public-access.html)

**排程類型：**已觸發變更

**參數：**無

控制項會檢查是否啟用封鎖公開存取，以封鎖 Amazon EBS 快照的所有共用。如果未啟用封鎖公開存取來封鎖所有 Amazon EBS 快照的所有共用，則控制項會失敗。

若要防止公開共用 Amazon EBS 快照，您可以啟用快照的封鎖公開存取。在區域中啟用快照的封鎖公開存取後，在該區域中公開共用快照的任何嘗試都會自動封鎖。這有助於改善快照的安全性，並保護快照資料免於未經授權的或非預期的存取。

### 修補
<a name="ec2-182-remediation"></a>

若要啟用快照的封鎖公開存取，請參閱《[Amazon EBS 使用者指南》中的設定 Amazon EBS 快照的封鎖公開存取](https://docs.aws.amazon.com/ebs/latest/userguide/block-public-access-snapshots-enable.html)。 **針對**封鎖公開存取**，選擇**封鎖所有公開存取**。

# Auto Scaling 的 Security Hub CSPM 控制項
<a name="autoscaling-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon EC2 Auto Scaling 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查
<a name="autoscaling-1"></a>

**相關要求：**PCI DSS v3.2.1/2.2、NIST.800-53.r5 CA-7、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 SI-2

**類別：**識別 > 清查

**嚴重性：**低

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查與負載平衡器相關聯的 Amazon EC2 Auto Scaling 群組是否使用 Elastic Load Balancing (ELB) 運作狀態檢查。如果 Auto Scaling 群組不使用 ELB 運作狀態檢查，則控制項會失敗。

ELB 運作狀態檢查有助於確保 Auto Scaling 群組可以根據負載平衡器提供的其他測試來判斷執行個體的運作狀態。使用 Elastic Load Balancing 運作狀態檢查也有助於支援使用 EC2 Auto Scaling 群組的應用程式可用性。

### 修補
<a name="autoscaling-1-remediation"></a>

若要新增 Elastic Load Balancing 運作狀態檢查，請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[新增 Elastic Load Balancing 運作狀態檢查](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-elb-healthcheck.html#as-add-elb-healthcheck-console)。

## 【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域
<a name="autoscaling-2"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-az.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用區域數目下限  |  列舉  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否至少跨越指定數量的可用區域 (AZs)。如果 Auto Scaling 群組未至少跨越指定數量AZs，則控制項會失敗。除非您提供最低 AZs 數量的自訂參數值，否則 Security Hub CSPM 會使用兩個 AZs 的預設值。

不跨越多個AZs Auto Scaling 群組無法在另一個可用區域中啟動執行個體，以便在設定的單一可用區域無法使用時予以補償。不過，在某些使用案例中，可能會偏好具有單一可用區域的 Auto Scaling 群組，例如批次工作或需要將跨可用區域傳輸成本保持在最低限度。在這種情況下，您可以停用此控制項或隱藏其問題清單。

### 修補
<a name="autoscaling-2-remediation"></a>

若要將 AZs 新增至現有的 Auto Scaling 群組，請參閱《*Amazon EC2 Auto Scaling 使用者指南*》中的[新增和移除可用區域](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-add-availability-zone.html)。

## 【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)
<a name="autoscaling-3"></a>

**相關要求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.6

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launchconfig-requires-imdsv2.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EC2 Auto Scaling 群組啟動的所有執行個體上是否啟用 IMDSv2。 Amazon EC2 Auto Scaling 如果執行個體中繼資料服務 (IMDS) 版本未包含在啟動組態中或設定為 ，則控制項會失敗`token optional`，這是允許 IMDSv1 或 IMDSv2 的設定。

IMDS 提供執行個體的資料，可用來設定或管理執行中的執行個體。

IMDS 第 2 版新增了 IMDSv1 中無法使用的新保護，以進一步保護您的 EC2 執行個體。

### 修補
<a name="autoscaling-3-remediation"></a>

Auto Scaling 群組一次與一個啟動組態相關聯。您無法在建立啟動組態之後對其進行修改。若要變更 Auto Scaling 群組的啟動組態，請使用現有的啟動組態做為啟用 IMDSv2 的新啟動組態的基礎。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[設定新執行個體的執行個體中繼資料選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-new-instances.html)。

## 【AutoScaling.4] Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1
<a name="autoscaling-4"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-hop-limit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查中繼資料字符可以移動的網路躍點數量。如果中繼資料回應跳轉限制大於 ，則控制項會失敗`1`。

Instance Metadata Service (IMDS) 提供 Amazon EC2 執行個體的中繼資料資訊，對於應用程式組態很有用。將中繼資料服務的 HTTP `PUT`回應限制為只有 EC2 執行個體可保護 IMDS 免於未經授權的使用。

IP 封包中的存留時間 (TTL) 欄位在每個躍點上減少一個。此減少項目可用來確保封包不會在 EC2 外部傳輸。IMDSv2 會保護可能已錯誤設定為開放路由器、第 3 層防火牆、VPNs、通道或 NAT 裝置的 EC2 執行個體，以防止未經授權的使用者擷取中繼資料。使用 IMDSv2 時，包含秘密字符的`PUT`回應無法在執行個體之外移動，因為預設中繼資料回應跳轉限制設定為 `1`。不過，如果此值大於 `1`，字符可能會離開 EC2 執行個體。

### 修補
<a name="autoscaling-4-remediation"></a>

若要修改現有啟動組態的中繼資料回應跳轉限制，請參閱《*Amazon EC2 使用者指南*》中的[修改現有執行個體的執行個體中繼資料選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html#configuring-IMDS-existing-instances)。

## 【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址
<a name="autoscaling-5"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::AutoScaling::LaunchConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-config-public-ip-disabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Auto Scaling 群組相關聯的啟動組態是否將[公有 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses)指派給群組的執行個體。如果相關聯的啟動組態指派公有 IP 地址，則控制項會失敗。

Auto Scaling 群組啟動組態中的 Amazon EC2 執行個體不應具有相關聯的公有 IP 地址，但在有限的邊緣情況下除外。Amazon EC2 執行個體應只能從負載平衡器後方存取，而不是直接公開至網際網路。

### 修補
<a name="autoscaling-5-remediation"></a>

Auto Scaling 群組一次與一個啟動組態相關聯。您無法在建立啟動組態之後對其進行修改。若要變更 Auto Scaling 群組的啟動組態，請使用現有啟動組態作為新啟動組態的基礎。然後更新 Auto Scaling 群組，以便使用新啟動組態。如需step-by-step說明，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的變更 Auto Scaling 群組的啟動組態](https://docs.aws.amazon.com/autoscaling/ec2/userguide/change-launch-config.html)。 *Amazon EC2 Auto Scaling * 建立新的啟動組態時，請在**其他組態**下，針對**進階詳細資訊、IP 地址類型**，選擇**不要將公有 IP 地址指派給任何執行個體**。

變更啟動組態後，Auto Scaling 會使用新的組態選項啟動新的執行個體。現有的執行個體不受影響。若要更新現有的執行個體，建議您重新整理執行個體，或允許自動擴展，以根據您的終止政策逐漸將較舊的執行個體取代為較新的執行個體。如需更新 Auto Scaling 執行個體的詳細資訊，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的更新 Auto Scaling 執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/update-auto-scaling-group.html#update-auto-scaling-instances)。 *Amazon EC2 Auto Scaling *

## 【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型
<a name="autoscaling-6"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-multiple-instance-types.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否使用多個執行個體類型。如果 Auto Scaling 群組只定義一個執行個體類型，則控制項會失敗。

您可以將應用程式部署於在多個可用區域執行的多種執行個體類型之間，以增強可用性。Security Hub CSPM 建議使用多個執行個體類型，以便在您選擇的可用區域中執行個體容量不足時Auto Scaling 群組可以啟動另一個執行個體類型。

### 修補
<a name="autoscaling-6-remediation"></a>

若要建立具有多個執行個體類型的 Auto Scaling 群組，請參閱《Amazon EC2 [Auto Scaling 使用者指南》中的具有多個執行個體類型和購買選項的 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-mixed-instances-groups.html)。 *Amazon EC2 Auto Scaling *

## 【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本
<a name="autoscaling-9"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-launch-template.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已從 Amazon EC2 EC2 Auto Scaling 群組。如果未使用啟動範本建立 Amazon EC2 Auto Scaling 群組，或未在混合執行個體政策中指定啟動範本，則此控制項會失敗。

您可以從 EC2 啟動範本或啟動組態建立 EC2 Auto Scaling 群組。不過，使用啟動範本建立 Auto Scaling 群組可確保您可以存取最新的功能和改進。

### 修補
<a name="autoscaling-9-remediation"></a>

若要使用 EC2 啟動範本建立 Auto Scaling 群組，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的使用啟動範本建立 Auto Scaling 群組](https://docs.aws.amazon.com/autoscaling/ec2/userguide/create-asg-launch-template.html)。 *Amazon EC2 Auto Scaling * 如需有關如何以啟動範本取代啟動組態的資訊，請參閱《*Amazon EC2 使用者指南*》中的[以啟動範本取代啟動組態](https://docs.aws.amazon.com/autoscaling/ec2/userguide/replace-launch-config.html)。

## 【AutoScaling.10] 應標記 EC2 Auto Scaling 群組
<a name="autoscaling-10"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AutoScaling::AutoScalingGroup`

**AWS Config rule：**`tagged-autoscaling-autoscalinggroup`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EC2 Auto Scaling 群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 Auto Scaling 群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果 Auto Scaling 群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="autoscaling-10-remediation"></a>

若要將標籤新增至 Auto Scaling 群組，請參閱《Amazon EC2 [ Auto Scaling 使用者指南》中的標籤 Auto Scaling 群組和執行個體](https://docs.aws.amazon.com/autoscaling/ec2/userguide/ec2-auto-scaling-tagging.html)。 *Amazon EC2 Auto Scaling *

# Amazon ECR 的 Security Hub CSPM 控制項
<a name="ecr-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Elastic Container Registry (Amazon ECR) 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ECR.1】 ECR 私有儲存庫應設定映像掃描
<a name="ecr-1"></a>

**相關要求：**NIST.800-53.r5 RA-5、PCI DSS v4.0.1/6.2.3、PCI DSS v4.0.1/6.2.4

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**高

**資源類型：** `AWS::ECR::Repository`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-image-scanning-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查私有 Amazon ECR 儲存庫是否已設定映像掃描。如果私有 ECR 儲存庫未設定為在推送或連續掃描時掃描，則控制項會失敗。

ECR 映像掃描有助於識別容器映像中的軟體漏洞。在 ECR 儲存庫上設定映像掃描會新增一層驗證，以確保所存放映像的完整性和安全性。

### 修補
<a name="ecr-1-remediation"></a>

若要設定 ECR 儲存庫的影像掃描，請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[影像掃描](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-scanning.html)。

## 【ECR.2】 ECR 私有儲存庫應設定標籤不可變性
<a name="ecr-2"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-8(1)

**類別：**識別 > 庫存 > 標記

**嚴重性：**中

**資源類型：** `AWS::ECR::Repository`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-tag-immutability-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查私有 ECR 儲存庫是否已啟用標籤不可變性。如果私有 ECR 儲存庫已停用標籤不可變性，則此控制項會失敗。如果標籤不可變性已啟用且值為 ，則此規則會通過`IMMUTABLE`。

Amazon ECR 標籤抗擾性可讓客戶依賴影像的描述性標籤作為追蹤和唯一識別影像的可靠機制。不可變標籤是靜態的，這表示每個標籤都是指唯一的影像。這可改善可靠性和可擴展性，因為使用靜態標籤一律會導致部署相同的映像。設定時，標籤不可變性可防止標籤遭到覆寫，從而減少攻擊面。

### 修補
<a name="ecr-2-remediation"></a>

若要建立已設定不可變標籤的儲存庫，或更新現有儲存庫的影像標籤可變性設定，請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[影像標籤可變性](https://docs.aws.amazon.com//AmazonECR/latest/userguide/image-tag-mutability.html)。

## 【ECR.3】 ECR 儲存庫應至少設定一個生命週期政策
<a name="ecr-3"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::ECR::Repository`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-private-lifecycle-policy-configured.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECR 儲存庫是否已設定至少一個生命週期政策。如果 ECR 儲存庫未設定任何生命週期政策，則此控制會失敗。

Amazon ECR 生命週期政策可讓您指定儲存庫中映像的生命週期管理。透過設定生命週期政策，您可以根據存留期或計數自動清除未使用的映像和映像過期。自動化這些任務可協助您避免意外使用儲存庫中過時的映像。

### 修補
<a name="ecr-3-remediation"></a>

若要設定生命週期政策，請參閱《*Amazon Elastic Container Registry 使用者指南*》中的[建立生命週期政策預覽](https://docs.aws.amazon.com//AmazonECR/latest/userguide/lpp_creation.html)。

## 【ECR.4】 ECR 公有儲存庫應加上標籤
<a name="ecr-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ECR::PublicRepository`

**AWS Config rule：**`tagged-ecr-publicrepository`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon ECR 公有儲存庫是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果公有儲存庫沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果公有儲存庫未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ecr-4-remediation"></a>

若要將標籤新增至 ECR 公有儲存庫，請參閱《[Amazon Elastic Container Registry 使用者指南》中的標記 Amazon ECR 公有儲存](https://docs.aws.amazon.com/AmazonECR/latest/public/ecr-public-using-tags.html)庫。 **

## 【ECR.5】 ECR 儲存庫應使用客戶受管加密 AWS KMS keys
<a name="ecr-5"></a>

**相關要求：**NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::ECR::Repository`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecr-repository-cmk-encryption-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |   AWS KMS keys 要包含在評估中的 Amazon Resource Name (ARNs清單。如果 ECR 儲存庫未在清單中使用 KMS 金鑰加密，則控制項會產生`FAILED`問題清單。  |  StringList （最多 10 個項目）  |  現有 KMS 金鑰的 1–10 ARNs。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`  |  無預設值  | 

此控制項會檢查 Amazon ECR 儲存庫是否使用客戶受管的靜態加密 AWS KMS key。如果未使用客戶受管 KMS 金鑰加密 ECR 儲存庫，則控制項會失敗。您可以選擇性地為控制項指定要包含在評估中的 KMS 金鑰清單。

根據預設，Amazon ECR 會使用 AES-256 演算法，使用 Amazon S3 受管金鑰 (SSE-S3) 加密儲存庫資料。如需其他控制，您可以設定 Amazon ECR 改用 AWS KMS key (SSE-KMS 或 DSSE-KMS) 來加密資料。KMS 金鑰可以是：Amazon ECR 為您建立和管理 AWS 受管金鑰 的 ，並具有別名 `aws/ecr`，或您在 中建立和管理的客戶受管金鑰 AWS 帳戶。使用客戶受管 KMS 金鑰，您可以完全控制金鑰。這包括定義和維護金鑰政策、管理授予、輪換密碼編譯材料、指派標籤、建立別名，以及啟用和停用金鑰。

**注意**  
AWS KMS 支援跨帳戶存取 KMS 金鑰。如果 ECR 儲存庫使用另一個帳戶擁有的 KMS 金鑰加密，則此控制項不會在評估儲存庫時執行跨帳戶檢查。控制項不會評估 Amazon ECR 在為儲存庫執行密碼編譯操作時是否可以存取和使用金鑰。

### 修補
<a name="ecr-5-remediation"></a>

您無法變更現有 ECR 儲存庫的加密設定。不過，您可以為後續建立的 ECR 儲存庫指定不同的加密設定。Amazon ECR 支援對個別儲存庫使用不同的加密設定。

如需 ECR 儲存庫加密選項的詳細資訊，請參閱《*Amazon ECR 使用者指南*》中的[靜態加密](https://docs.aws.amazon.com/AmazonECR/latest/userguide/encryption-at-rest.html)。如需客戶受管的詳細資訊 AWS KMS keys，請參閱《 *AWS Key Management Service 開發人員指南*[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)》中的 。

# Amazon ECS 的 Security Hub CSPM 控制項
<a name="ecs-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Elastic Container Service (Amazon ECS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義
<a name="ecs-1"></a>

**重要**  
Security Hub CSPM 已於 2026 年 3 月淘汰此控制。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。您可以參考下列控制項來評估特殊權限組態、網路模式組態和使用者組態：  
 [【ECS.4】 ECS 容器應以非特殊權限執行](#ecs-4) 
 [【ECS.17】 ECS 任務定義不應使用主機網路模式](#ecs-17) 
 [【ECS.20】 ECS 任務定義應在 Linux 容器定義中設定非根使用者](#ecs-20) 
 [【ECS.21】 ECS 任務定義應在 Windows 容器定義中設定非管理員使用者](#ecs-21) 

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html)

**排程類型：**變更已觸發

**參數：**
+ `SkipInactiveTaskDefinitions`：`true`（不可自訂）

此控制項會檢查具有主機聯網模式的作用中 Amazon ECS 任務定義是否具有 `privileged`或 `user`容器定義。對於主機網路模式和容器定義為 `privileged=false`、空白和 或空白的任務定義`user=root`，控制項會失敗。

此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。

此控制的目的是確保在您執行使用主機網路模式的任務時，刻意定義存取。如果任務定義具有更高的權限，是因為您已選擇該組態。當任務定義已啟用主機聯網，而且您未選擇提升的權限時，此控制項會檢查是否有非預期的權限提升。

### 修補
<a name="ecs-1-remediation"></a>

如需有關如何更新任務定義的資訊，請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[更新任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html)。

當您更新任務定義時，不會更新從上一個任務定義啟動的執行中任務。若要更新執行中的任務，您必須使用新的任務定義重新部署任務。

## 【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址
<a name="ecs-2"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 資源不可公開存取

**嚴重性：**高

**資源類型：** `AWS::ECS::Service`

**AWS Config rule：**`ecs-service-assign-public-ip-disabled`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon ECS 服務是否設定為自動指派公有 IP 地址。如果 `AssignPublicIP`為 ，則此控制項會失敗`ENABLED`。如果 `AssignPublicIP`是 ，則此控制項會通過`DISABLED`。

公有 IP 地址是從網際網路連線的 IP 地址。如果您使用公有 IP 地址啟動 Amazon ECS 執行個體，則可以從網際網路存取 Amazon ECS 執行個體。Amazon ECS 服務不應公開存取，因為這可能會允許意外存取您的容器應用程式伺服器。

### 修補
<a name="ecs-2-remediation"></a>

首先，您必須為叢集建立使用 `awsvpc` 網路模式的任務定義，並為 指定 **FARGATE**`requiresCompatibilities`。然後，針對**運算組態**，選擇**啟動類型**和 **FARGATE**。最後，在**聯網**欄位中，關閉**公有 IP** 以停用服務的自動公有 IP 指派。

## 【ECS.3】 ECS 任務定義不應共用主機的程序命名空間
<a name="ecs-3"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**識別 > 資源組態

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-pid-mode-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon ECS 任務定義是否設定為與其容器共用主機的程序命名空間。如果任務定義與在其上執行的容器共用主機的程序命名空間，則控制項會失敗。此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。

程序 ID (PID) 命名空間可在程序之間進行區隔。它可防止系統程序可見，並允許重複使用 PIDs，包括 PID 1。如果主機的 PID 命名空間與容器共用，則可讓容器查看主機系統上的所有程序。這可減少主機和容器之間程序層級隔離的好處。這些情況可能會導致未經授權存取主機本身的程序，包括操作和終止它們的能力。客戶不應與在其上執行的容器共用主機的程序命名空間。

### 修補
<a name="ecs-3-remediation"></a>

若要在任務定義`pidMode`上設定 ，請參閱《Amazon Elastic Container Service 開發人員指南》中的[任務定義參數](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#task_definition_pidmode)。

## 【ECS.4】 ECS 容器應以非特殊權限執行
<a name="ecs-4"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理 > 根使用者存取限制

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-nonprivileged.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon ECS 任務定義之容器定義中的 `privileged` 參數是否設定為 `true`。如果此參數等於 ，則控制項會失敗`true`。此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。

我們建議您從 ECS 任務定義中移除提升的權限。當權限參數為 時`true`，容器會在主機容器執行個體上獲得更高的權限 （類似於根使用者）。

### 修補
<a name="ecs-4-remediation"></a>

若要在任務定義上設定 `privileged` 參數，請參閱《Amazon Elastic Container Service 開發人員指南》中的[進階容器定義參數](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definition_parameters.html#container_definition_security)。

## 【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取
<a name="ecs-5"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-containers-readonly-access.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 ECS 任務定義是否將容器設定為僅限對掛載根檔案系統的唯讀存取。如果 ECS 任務定義之容器定義中的 `readonlyRootFilesystem` 參數設定為 `false`，或該參數不存在於任務定義內的容器定義中，則控制項會失敗。此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。

如果 `readonlyRootFilesystem` 參數在 Amazon ECS 任務定義`true`中設定為 ，則 ECS 容器會獲得其根檔案系統的唯讀存取權。這樣可以減少安全攻擊向量，因為如果沒有對檔案系統資料夾和目錄具有讀寫許可的明確磁碟區掛載，則無法竄改或寫入容器執行個體的根檔案系統。啟用此選項也會遵循最低權限原則。

**注意**  
Windows 容器不支援 `readonlyRootFilesystem` 參數。`runtimePlatform` 設定為指定`WINDOWS_SERVER`作業系統系列的任務定義會標記為 `NOT_APPLICABLE`，而且不會為此控制項產生問題清單。

### 修補
<a name="ecs-5-remediation"></a>

若要授予 Amazon ECS 容器對其根檔案系統的唯讀存取權，請將 `readonlyRootFilesystem` 參數新增至容器的任務定義，並將 參數的值設定為 `true`。如需有關任務定義參數以及如何將其新增至任務定義的資訊，請參閱《[Amazon Elastic Container Service 開發人員指南》中的 Amazon ECS 任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task_definitions.html)和[更新任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。 **

## 【ECS.8】 不應將秘密做為容器環境變數傳遞
<a name="ecs-8"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/8.6.2

**類別：**保護 > 安全開發 > 非硬式編碼的登入資料

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-no-environment-secrets.html)

**排程類型：**變更已觸發

**參數：**`secretKeys`：`AWS_ACCESS_KEY_ID`、`AWS_SECRET_ACCESS_KEY`、`ECS_ENGINE_AUTH_DATA` （不可自訂） 

此控制項會檢查容器定義 `environment` 參數中任何變數的索引鍵值是否包含 `AWS_ACCESS_KEY_ID`、 `AWS_SECRET_ACCESS_KEY`或 `ECS_ENGINE_AUTH_DATA`。如果任何容器定義中的單一環境變數等於 `AWS_ACCESS_KEY_ID`、 或 `AWS_SECRET_ACCESS_KEY`，則此控制項會失敗`ECS_ENGINE_AUTH_DATA`。此控制項不包含從 Amazon S3 等其他位置傳入的環境變數。此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。

AWS Systems Manager 參數存放區可協助您改善組織的安全狀態。我們建議您使用 參數存放區來存放秘密和登入資料，而不是直接將秘密和登入資料傳遞到您的容器執行個體或硬式編碼到您的程式碼。

### 修補
<a name="ecs-8-remediation"></a>

若要使用 SSM 建立參數，請參閱*AWS Systems Manager 《 使用者指南*》中的[建立 Systems Manager 參數](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-su-create.html)。如需建立指定秘密之任務定義的詳細資訊，請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[使用 Secrets Manager 指定敏感資料](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/specifying-sensitive-data-secrets.html#secrets-create-taskdefinition)。

## 【ECS.9】 ECS 任務定義應具有記錄組態
<a name="ecs-9"></a>

**相關要求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

**類別：**識別 > 記錄日誌

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[ecs-task-definition-log-configuration](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-log-configuration.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查最新的作用中 Amazon ECS 任務定義是否已指定記錄組態。如果任務定義未定義 `logConfiguration` 屬性，或至少有一個容器定義中的 值`logDriver`為 null，則控制項會失敗。

記錄可協助您維護 Amazon ECS 的可靠性、可用性和效能。從任務定義收集資料可提供可見性，這可協助您偵錯程序並尋找錯誤的根本原因。如果您使用的是不需要在 ECS 任務定義中定義的記錄解決方案 （例如第三方記錄解決方案），您可以在確保正確擷取和交付您的日誌之後停用此控制項。

### 修補
<a name="ecs-9-remediation"></a>

若要定義 Amazon ECS 任務定義的日誌組態，請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[在任務定義中指定日誌組態](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html#specify-log-config)。

## 【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行
<a name="ecs-10"></a>

**相關要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::ECS::Service`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-fargate-latest-platform-version.html)

**排程類型：**變更已觸發

**參數：**
+ `latestLinuxVersion: 1.4.0` （不可自訂）
+ `latestWindowsVersion: 1.0.0` （不可自訂）

此控制項會檢查 Amazon ECS Fargate 服務是否正在執行最新的 Fargate 平台版本。如果平台版本不是最新的，則此控制項會失敗。

AWS Fargate 平台版本是指 Fargate 任務基礎設施的特定執行期環境，這是核心和容器執行期版本的組合。新的平台版本會隨著執行時間環境的演進而發佈。例如，可能會針對核心或作業系統更新、新功能、錯誤修正或安全性更新發行新版本。系統會為 Fargate 任務自動部署安全性更新與修補程式。如果發現影響平台版本的安全問題，請 AWS 修補平台版本。

### 修補
<a name="ecs-10-remediation"></a>

若要更新現有服務，包括其平台版本，請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[更新服務](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service.html)。

## 【ECS.12】 ECS 叢集應使用 Container Insights
<a name="ecs-12"></a>

**相關要求：**NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::ECS::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 ECS 叢集是否使用 Container Insights。如果未為叢集設定 Container Insights，則此控制項會失敗。

監控是維護 Amazon ECS 叢集可靠性、可用性和效能的重要部分。使用 CloudWatch Container Insights 來收集、彙整和摘要您容器化應用程式及微服務中的指標及日誌。CloudWatch 會自動收集 CPU、記憶體、磁碟和網路等許多資源的指標。Container Insights 還提供診斷資訊，例如容器重新啟動故障，協助您快速隔離和解決這些故障。您也可以為 Container Insights 收集的指標設定 CloudWatch 警示。

### 修補
<a name="ecs-12-remediation"></a>

若要使用 Container Insights，請參閱《*Amazon CloudWatch 使用者指南*》中的[更新服務](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-ECS.html)。

## 【ECS.13】 ECS 服務應加上標籤
<a name="ecs-13"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ECS::Service`

**AWS Config rule：**`tagged-ecs-service`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon ECS 服務是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果服務沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果服務未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ecs-13-remediation"></a>

若要將標籤新增至 ECS 服務，請參閱《[Amazon Elastic Container Service 開發人員指南》中的標記 Amazon ECS 資源](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)。 **

## 【ECS.14】 ECS 叢集應加上標籤
<a name="ecs-14"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ECS::Cluster`

**AWS Config rule：**`tagged-ecs-cluster`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon ECS 叢集是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ecs-14-remediation"></a>

若要將標籤新增至 ECS 叢集，請參閱《[Amazon Elastic Container Service 開發人員指南》中的標記 Amazon ECS 資源](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)。 **

## 【ECS.15】 ECS 任務定義應加上標籤
<a name="ecs-15"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config rule：**`tagged-ecs-taskdefinition`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon ECS 任務定義是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果任務定義沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果任務定義未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ecs-15-remediation"></a>

若要將標籤新增至 ECS 任務定義，請參閱《[Amazon Elastic Container Service 開發人員指南》中的標記 Amazon ECS 資源](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-using-tags.html)。 **

## 【ECS.16】 ECS 任務集不應自動指派公有 IP 地址
<a name="ecs-16"></a>

**相關要求：**PCI DSS v4.0.1/1.4.4

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::ECS::TaskSet`

**AWS Config rule：**`ecs-taskset-assign-public-ip-disabled`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECS 任務集是否設定為自動指派公有 IP 地址。如果 `AssignPublicIP`設定為 ，則控制項會失敗`ENABLED`。

公有 IP 地址可從網際網路存取。如果您使用公有 IP 地址設定任務集，則可以從網際網路連線與任務集相關聯的資源。不應公開存取 ECS 任務集，因為這可能會允許意外存取您的容器應用程式伺服器。

### 修補
<a name="ecs-16-remediation"></a>

若要更新 ECS 任務集，使其不使用公有 IP 地址，請參閱[《Amazon Elastic Container Service 開發人員指南》中的使用主控台更新 Amazon ECS 任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。 **

## 【ECS.17】 ECS 任務定義不應使用主機網路模式
<a name="ecs-17"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-network-mode-not-host.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECS 任務定義的最新作用中修訂是否使用`host`網路模式。如果 ECS 任務定義的最新作用中修訂使用`host`網路模式，則控制項會失敗。

使用`host`網路模式時，Amazon ECS 容器的聯網會直接繫結至執行容器的基礎主機。因此，此模式允許容器連線到主機上的私有迴路網路服務，並模擬主機。其他重大缺點是，使用`host`網路模式時無法重新映射容器連接埠，而且您無法在每個主機上執行多個任務的單一執行個體。

### 修補
<a name="ecs-17-remediation"></a>

如需 Amazon EC2 執行個體上託管之 Amazon EC2 任務的聯網模式和選項的相關資訊，請參閱《[Amazon Elastic Container Service 開發人員指南》中的 EC2 啟動類型的 Amazon ECS 任務聯網選項](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html)。 **如需有關建立新的任務定義修訂和指定不同網路模式的資訊，請參閱該指南中的[更新 Amazon ECS 任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

如果 Amazon ECS 任務定義是由 建立 AWS Batch，請參閱[AWS Batch 任務的網路模式](https://docs.aws.amazon.com/batch/latest/userguide/networking-modes-jobs.html)以了解網路模式和 AWS Batch 任務類型的典型用量，並選擇安全選項。

## 【ECS.18】 ECS 任務定義應針對 EFS 磁碟區使用傳輸中加密
<a name="ecs-18"></a>

**類別：**保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-efs-encryption-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECS 任務定義的最新作用中修訂是否針對 EFS 磁碟區使用傳輸中加密。如果 ECS 任務定義的最新作用中修訂已停用 EFS 磁碟區的傳輸中加密，則控制項會失敗。

Amazon EFS 磁碟區提供簡單、可擴展且持久的共用檔案儲存，可用於 Amazon ECS 任務。Amazon EFS 支援使用 Transport Layer Security (TLS) 加密傳輸中的資料。當傳輸中的資料加密宣告為 EFS 檔案系統的掛載選項時，Amazon EFS 會在掛載檔案系統時與您的 EFS 檔案系統建立安全的 TLS 連線。

### 修補
<a name="ecs-18-remediation"></a>

如需使用 EFS 磁碟區為 Amazon ECS 任務定義啟用傳輸中加密的資訊，請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[步驟 5：建立任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/tutorial-efs-volumes.html#efs-task-def)。

## 【ECS.19】 ECS 容量提供者應啟用受管終止保護
<a name="ecs-19"></a>

**類別：**保護 > 資料保護

**嚴重性：**中

**資源類型：** `AWS::ECS::CapacityProvider`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-capacity-provider-termination-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECS 容量提供者是否已啟用受管終止保護。如果未在 ECS 容量提供者上啟用受管終止保護，則控制項會失敗。

Amazon ECS 容量提供者會管理叢集中任務的基礎設施擴展。當您為容量使用 EC2 執行個體時，可以使用 Auto Scaling 群組管理 EC2 執行個體。受管終止保護可讓叢集自動擴展控制哪些執行個體會終止。使用受管終止保護時，Amazon ECS 只會終止沒有執行 Amazon ECS 任務的 EC2 執行個體。

**注意**  
使用受管終止保護時，也必須使用受管擴展，否則受管終止保護無法運作。

### 修補
<a name="ecs-19-remediation"></a>

若要啟用 Amazon ECS 容量提供者的受管終止保護，請參閱《Amazon *Elastic Container Service 開發人員指南*》中的[更新 Amazon ECS 容量提供者的受管終止保護](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-managed-termination-protection.html)。

## 【ECS.20】 ECS 任務定義應在 Linux 容器定義中設定非根使用者
<a name="ecs-20"></a>

**類別：**保護 > 安全存取管理 > 根使用者存取限制

**嚴重性：**中

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-linux-user-non-root.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECS 任務定義的最新作用中修訂是否將 Linux 容器設定為以非根使用者身分執行。如果任何容器的預設根使用者已設定或使用者組態不存在，則控制項會失敗。

當 Linux 容器以根權限執行時，會帶來數個重大的安全風險。根使用者在容器內具有不受限制的存取。這種更高的存取會增加容器逸出攻擊的風險，攻擊者可能會中斷容器隔離並存取基礎主機系統。如果以根身分執行的容器遭到入侵，攻擊者可能會利用它來存取或修改主機系統資源，進而影響其他容器或主機本身。此外，根存取可以啟用權限提升攻擊，讓攻擊者獲得容器預期範圍以外的額外許可。ECS 任務定義中的使用者參數可以多種格式指定使用者，包括使用者名稱、使用者 ID、含群組的使用者名稱或含群組 ID 的 UID。在設定任務定義時，請務必注意這些各種格式，以確保不會不小心授予根存取權。遵循最低權限原則，容器應使用非根使用者以最低必要許可執行。這種方法可大幅減少潛在的攻擊面，並減輕潛在安全漏洞的影響。

**注意**  
此控制項只會在任務定義中`operatingSystemFamily`將 設定為 `LINUX`或未`operatingSystemFamily`設定為 時，評估任務定義中的容器定義。如果任務定義中的任何容器定義`user`尚未設定或`user`設定為預設根使用者，控制項將產生評估任務定義的`FAILED`調查結果。`LINUX` 容器的預設根使用者為 `"root"`和 `"0"`。

### 修補
<a name="ecs-20-remediation"></a>

如需有關建立新的 Amazon ECS 任務定義修訂和更新容器定義中 `user` 參數的資訊，請參閱《Amazon *Elastic Container Service 開發人員指南》中的*[更新 Amazon ECS 任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。

## 【ECS.21】 ECS 任務定義應在 Windows 容器定義中設定非管理員使用者
<a name="ecs-21"></a>

**類別：**保護 > 安全存取管理 > 根使用者存取限制

**嚴重性：**中

**資源類型：** `AWS::ECS::TaskDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-windows-user-non-admin.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon ECS 任務定義的最新作用中修訂是否將 Windows 容器設定為以非預設管理員的使用者身分執行。如果任何容器的預設管理員設定為使用者或使用者組態不存在，則控制項會失敗。

當 Windows 容器以管理員權限執行時，會帶來數個重大的安全風險。管理員在容器內具有不受限制的存取。這種更高的存取會增加容器逸出攻擊的風險，攻擊者可能會中斷容器隔離並存取基礎主機系統。

**注意**  
此控制項只會在任務定義中`operatingSystemFamily`將 設定為 `WINDOWS_SERVER`或未`operatingSystemFamily`設定為 時，評估任務定義中的容器定義。如果任務定義中的任何容器定義`user`尚未設定或`user`設定為`WINDOWS_SERVER`容器的預設管理員，則控制項將產生已評估任務定義的`FAILED`調查結果`"containeradministrator"`。

### 修補
<a name="ecs-21-remediation"></a>

如需有關建立新的 Amazon ECS 任務定義修訂和更新容器定義中 `user` 參數的資訊，請參閱[《Amazon Elastic Container Service 開發人員指南》中的更新 Amazon ECS 任務定義](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html)。 **

# Amazon EFS 的 Security Hub CSPM 控制項
<a name="efs-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Elastic File System (Amazon EFS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS
<a name="efs-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.3.1、CIS AWS Foundations Benchmark v3.0.0/2.4.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Elastic File System 是否設定為使用 加密檔案資料 AWS KMS。檢查會在下列情況下失敗。
+ `Encrypted` 在[https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html)回應`false`中設定為 。
+ [https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html](https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html) 回應中的`KmsKeyId`金鑰與 的 `KmsKeyId` 參數不相符[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)。

請注意，此控制項不會針對 使用 `KmsKeyId` 參數[https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html)。其只會檢查 `Encrypted` 的值。

若要為 Amazon EFS 中的敏感資料增加一層安全性，您應該建立加密的檔案系統。Amazon EFS 支援靜態檔案系統的加密。您可以在建立 Amazon EFS 檔案系統時啟用靜態資料的加密。若要進一步了解 Amazon EFS 加密，請參閱《Amazon *Amazon Elastic File System 使用者指南*》中的 Amazon[ EFS 中的資料加密](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。

### 修補
<a name="efs-1-remediation"></a>

如需如何加密新 Amazon EFS 檔案系統的詳細資訊，請參閱《*Amazon Elastic File System 使用者指南*》中的[加密靜態資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)。

## 【EFS.2】 Amazon EFS 磁碟區應位於備份計劃中
<a name="efs-2"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 備份

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Elastic File System (Amazon EFS) 檔案系統是否新增至 中的備份計劃 AWS Backup。如果備份計畫中未包含 Amazon EFS 檔案系統，則控制項會失敗。

在備份計畫中包含 EFS 檔案系統可協助您保護資料免於刪除和資料遺失。

### 修補
<a name="efs-2-remediation"></a>

若要啟用現有 Amazon EFS 檔案系統的自動備份，請參閱《 *AWS Backup 開發人員指南*》中的[入門 4：建立 Amazon EFS 自動備份](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html)。

## 【EFS.3】 EFS 存取點應強制執行根目錄
<a name="efs-3"></a>

**相關需求：**NIST.800-53.r5 AC-6(10)

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::EFS::AccessPoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-root-directory.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 存取點是否已設定為強制執行根目錄。如果 的值`Path`設為 `/`（檔案系統的預設根目錄），則控制項會失敗。

強制執行根目錄時，使用存取點的 NFS 用戶端會使用存取點上設定的根目錄，而不是檔案系統的根目錄。強制執行存取點的根目錄有助於透過確保存取點的使用者只能存取指定子目錄的檔案來限制資料存取。

### 修補
<a name="efs-3-remediation"></a>

如需如何強制執行 Amazon EFS 存取點根目錄的說明，請參閱《*Amazon Elastic File System 使用者指南*》中的[使用存取點強制執行根目錄](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-root-directory-access-point)。

## 【EFS.4】 EFS 存取點應強制執行使用者身分
<a name="efs-4"></a>

**相關要求：**NIST.800-53.r5 AC-6(2)、PCI DSS v4.0.1/7.3.1

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::EFS::AccessPoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-access-point-enforce-user-identity.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 存取點是否設定為強制執行使用者身分。如果在建立 EFS 存取點時未定義 POSIX 使用者身分，則此控制項會失敗。

Amazon EFS 存取點是應用程式特定的 EFS 檔案系統進入點，此進入點可讓您更輕鬆地管理共用資料集的應用程式存取。存取點可以針對透過存取點發出的所有檔案系統請求，強制執行使用者身分 (包括使用者的 POSIX 群組)。存取點也可以針對檔案系統強制執行不同的根目錄，讓用戶端只能存取指定目錄或其子目錄中的資料。

### 修補
<a name="efs-4-remediation"></a>

若要強制執行 Amazon EFS 存取點的使用者身分，請參閱《*Amazon Elastic File System 使用者指南*》中的[使用存取點強制執行使用者身分](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points)。

## 【EFS.5】 EFS 存取點應加上標籤
<a name="efs-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EFS::AccessPoint`

**AWS Config rule：**`tagged-efs-accesspoint`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EFS 存取點是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果存取點沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果存取點未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="efs-5-remediation"></a>

若要將標籤新增至 EFS 存取點，請參閱《[Amazon Elastic File System 使用者指南》中的標記 Amazon EFS 資源](https://docs.aws.amazon.com/efs/latest/ug/manage-fs-tags.html)。 *Amazon Elastic File System *

## 【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯
<a name="efs-6"></a>

**類別：**保護 > 網路安全 > 資源不可公開存取

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-mount-target-public-accessible.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon EFS 掛載目標是否與在啟動時指派公有 IP 地址的子網路相關聯。如果掛載目標與在啟動時指派公有 IP 地址的子網路相關聯，則控制項會失敗。

子網路具有屬性，可判斷網路介面是否自動接收公有 IPv4 和 IPv6 地址。對於 IPv4，對於`TRUE`預設子網路和非預設子網路`FALSE`，此屬性設定為 （透過 EC2 啟動執行個體精靈建立的非預設子網路除外，其設定為 `TRUE`)。對於 IPv6，此屬性預設為所有子網路`FALSE`的 。啟用這些屬性時，在子網路中啟動的執行個體會自動在其主要網路界面上接收對應的 IP 地址 (IPv4 或 IPv6)。在已啟用此屬性的子網路中啟動的 Amazon EFS 掛載目標，具有指派給其主要網路介面的公有 IP 地址。

### 修補
<a name="efs-6-remediation"></a>

若要將現有的掛載目標與不同的子網路建立關聯，您必須在子網路中建立新的掛載目標，該子網路不會在啟動時指派公有 IP 地址，然後移除舊的掛載目標。如需有關管理掛載目標的資訊，請參閱《*Amazon Elastic File System 使用者指南*》中的[建立和管理掛載目標和安全群組](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html)。

## 【EFS.7】 EFS 檔案系統應該啟用自動備份
<a name="efs-7"></a>

**類別：**復原 > 恢復 > 備份已啟用

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-automatic-backups-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 檔案系統是否已啟用自動備份。如果 EFS 檔案系統未啟用自動備份，則此控制會失敗。

資料備份是系統、組態或應用程式資料的複本，與原始資料分開存放。啟用定期備份可協助您保護寶貴的資料，避免發生意外事件，例如系統故障、網路攻擊或意外刪除。擁有強大的備份策略也有助於更快速的復原、業務連續性和在面臨潛在的資料遺失時安心。

### 修補
<a name="efs-7-remediation"></a>

如需有關使用 AWS Backup for EFS 檔案系統的資訊，請參閱《Amazon Elastic [File System 使用者指南》中的備份 EFS ](https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html) 檔案系統。 *Amazon Elastic File System *

## 【EFS.8】 EFS 檔案系統應靜態加密
<a name="efs-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.3.1

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EFS::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/efs-filesystem-ct-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EFS 檔案系統是否使用 AWS Key Management Service () 加密資料AWS KMS。如果未加密檔案系統，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="efs-8-remediation"></a>

若要為新的 EFS 檔案系統啟用靜態加密，請參閱《*Amazon Elastic File System 使用者指南*》中的[加密靜態資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)。

# Amazon EKS 的 Security Hub CSPM 控制項
<a name="eks-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Elastic Kubernetes Service (Amazon EKS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【EKS.1】 不應公開存取 EKS 叢集端點
<a name="eks-1"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 5

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::EKS::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon EKS 叢集端點是否可公開存取。如果 EKS 叢集具有可公開存取的端點，則控制項會失敗。

當您建立新的叢集時，Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點。根據預設，此 API 伺服器端點可公開供網際網路使用。使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 (RBAC) 的組合來保護 API 伺服器的存取。透過移除對端點的公開存取，您可以避免意外暴露和存取叢集。

### 修補
<a name="eks-1-remediation"></a>

若要修改現有 EKS 叢集的端點存取，請參閱《**Amazon EKS 使用者指南**》中的[修改叢集端點存取](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access)。您可以在建立新 EKS 叢集時設定端點存取。如需建立新的 Amazon EKS 叢集的說明，請參閱《[Amazon EKS 使用者指南》中的建立 Amazon EKS 叢集](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html)。 ****

## 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行
<a name="eks-2"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/12.3.4

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**高

**資源類型：** `AWS::EKS::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)

**排程類型：**已觸發變更

**參數：**
+ `oldestVersionSupported`：`1.33`（不可自訂）

此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。如果 EKS 叢集在不支援的版本上執行，則控制項會失敗。

如果您的應用程式不需要特定版本的 Kubernetes，建議您為叢集使用 EKS 支援的最新可用 Kubernetes 版本。如需詳細資訊，請參閱《[Amazon EKS 使用者指南》中的 Amazon EKS Kubernetes 版本行事曆](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar)*和***[了解 Amazon EKS 上的 Kubernetes 版本生命週期](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation)。

### 修補
<a name="eks-2-remediation"></a>

若要更新 EKS 叢集，請參閱《**Amazon EKS 使用者指南*》中的*[將現有叢集更新為新的 Kubernetes 版本](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html)。

## 【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密
<a name="eks-3"></a>

**相關要求：**NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、PCI DSS v4.0.1/8.3.2

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EKS::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon EKS 叢集是否使用加密的 Kubernetes 秘密。如果叢集的 Kubernetes 秘密未加密，則控制項會失敗。

當您加密秘密時，您可以使用 AWS Key Management Service (AWS KMS) 金鑰，為您的叢集提供存放在 等 中的 Kubernetes 秘密的信封加密。此加密是 EBS 磁碟區加密的補充，預設會針對存放在 中作為 EKS 叢集的一部分進行加密的所有資料 （包括秘密） 啟用。對 EKS 叢集使用秘密加密可讓您使用您定義和管理的 KMS 金鑰加密 Kubernetes 秘密，為 Kubernetes 應用程式部署深度防禦策略。

### 修補
<a name="eks-3-remediation"></a>

若要在 EKS 叢集上啟用秘密加密，請參閱《**Amazon EKS 使用者指南**》中的在[現有叢集上啟用秘密加密](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html)。

## 【EKS.6】 EKS 叢集應加上標籤
<a name="eks-6"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EKS::Cluster`

**AWS Config rule：**`tagged-eks-cluster`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EKS 叢集是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="eks-6-remediation"></a>

若要將標籤新增至 EKS 叢集，請參閱《[Amazon EKS 使用者指南》中的標記 Amazon EKS 資源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。 ****

## 【EKS.7】 EKS 身分提供者組態應加上標籤
<a name="eks-7"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::EKS::IdentityProviderConfig`

**AWS Config rule：**`tagged-eks-identityproviderconfig`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EKS 身分提供者組態是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果組態沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果組態未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="eks-7-remediation"></a>

若要將標籤新增至 EKS 身分提供者組態，請參閱《[Amazon EKS 使用者指南》中的標記 Amazon EKS 資源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。 ****

## 【EKS.8】 EKS 叢集應該啟用稽核記錄
<a name="eks-8"></a>

**相關需求：**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::EKS::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)

**排程類型：**變更已觸發

**參數：**
+ `logTypes: audit` （不可自訂）

此控制項會檢查 Amazon EKS 叢集是否已啟用稽核記錄。如果未為叢集啟用稽核記錄，則控制項會失敗。

**注意**  
此控制項不會檢查是否已透過 的 Amazon Security Lake 啟用 Amazon EKS 稽核記錄 AWS 帳戶。

EKS 控制平面記錄會將稽核和診斷日誌直接從 EKS 控制平面提供給帳戶中的 Amazon CloudWatch Logs。您可以選取所需的日誌類型，並將日誌做為日誌串流傳送至 CloudWatch 中每個 EKS 叢集的群組。記錄可提供 EKS 叢集存取和效能的可見性。透過將 EKS 叢集的 EKS 控制平面日誌傳送至 CloudWatch Logs，您可以在中央位置記錄操作以進行稽核和診斷。

### 修補
<a name="eks-8-remediation"></a>

若要啟用 EKS 叢集的稽核日誌，請參閱《**Amazon EKS 使用者指南**》中的[啟用和停用控制平面日誌](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export)。

# ElastiCache 的 Security Hub CSPM 控制項
<a name="elasticache-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon ElastiCache 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份
<a name="elasticache-1"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**類別：**Recover > Resilience > Backups enabled

**嚴重性：**高

**資源類型：**`AWS::ElastiCache::CacheCluster`、 `AWS:ElastiCache:ReplicationGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `snapshotRetentionPeriod`  |  最短快照保留期間，以天為單位  |  Integer  |  `1` 至 `35`  |  `1`  | 

此控制項會評估 Amazon ElastiCache (Redis OSS) 叢集是否已啟用自動備份。如果 Redis OSS 叢集`SnapshotRetentionLimit`的 小於指定的時段，則控制項會失敗。除非您提供快照保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 1 天。

ElastiCache (Redis OSS) 叢集可以備份其資料。您可以使用備份來還原叢集或植入新的叢集。備份包含叢集的中繼資料，以及叢集中的所有資料。所有備份都會寫入 Amazon S3，以提供耐用的儲存體。您可以透過建立新的 ElastiCache 叢集並填入備份中的資料來還原資料。您可以使用 AWS 管理主控台、 AWS CLI和 ElastiCache API 來管理備份。

**注意**  
此控制項也會評估 ElastiCache (Redis OSS 和 Valkey) 複寫群組。

### 修補
<a name="elasticache-1-remediation"></a>

如需有關排程 ElastiCache 叢集自動備份的資訊，請參閱《*Amazon ElastiCache 使用者指南*》中的[排程自動備份](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/backups-automatic.html)。

## 【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級
<a name="elasticache-2"></a>

**相關要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**高

**資源類型：** `AWS::ElastiCache::CacheCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-auto-minor-version-upgrade-check.html)

**排程類型：**定期

**參數：**無

此控制項會評估 Amazon ElastiCache 是否自動將次要版本升級套用至快取叢集。如果快取叢集未自動套用次要版本升級，則控制項會失敗。

**注意**  
此控制項不適用於 ElastiCache Memcached 叢集。

自動次要版本升級是一項功能，您可以在 Amazon ElastiCache 中啟用此功能，以便在新的次要快取引擎版本可用時自動升級快取叢集。這些升級可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝up-to-date，是保護系統安全的重要步驟。

### 修補
<a name="elasticache-2-remediation"></a>

若要自動將次要版本升級套用至現有的 ElastiCache 快取叢集，請參閱《Amazon [ ElastiCache 使用者指南》中的 ElastiCache 版本管理](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/VersionManagement.html)。 *Amazon ElastiCache *

## 【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉
<a name="elasticache-3"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::ElastiCache::ReplicationGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-auto-failover-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 ElastiCache 複寫群組是否已啟用自動容錯移轉。如果複寫群組未啟用自動容錯移轉，則控制項會失敗。

為複寫群組啟用自動容錯移轉時，主節點的角色會自動容錯移轉至其中一個僅供讀取複本。此容錯移轉和複本提升可確保您可以在提升完成後繼續寫入新的主要節點，以減少發生故障時的整體停機時間。

### 修補
<a name="elasticache-3-remediation"></a>

若要啟用現有 ElastiCache 複寫群組的自動容錯移轉，請參閱《Amazon [ ElastiCache 使用者指南》中的修改 ElastiCache 叢集](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Clusters.Modify.html#Clusters.Modify.CON)。 *Amazon ElastiCache * 如果您使用 ElastiCache 主控台，請將**自動容錯移轉**設定為已啟用。

## 【ElastiCache.4] ElastiCache 複寫群組應靜態加密
<a name="elasticache-4"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::ElastiCache::ReplicationGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-at-rest.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 ElastiCache 複寫群組是否靜態加密。如果複寫群組未靜態加密，則控制項會失敗。

加密靜態資料可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。ElastiCache (Redis OSS) 複寫群組應靜態加密，以增加一層安全性。

### 修補
<a name="elasticache-4-remediation"></a>

若要在 ElastiCache 複寫群組上設定靜態加密，請參閱《*Amazon ElastiCache 使用者指南*》中的[啟用靜態加密](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/at-rest-encryption.html#at-rest-encryption-enable)。

## 【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密
<a name="elasticache-5"></a>

**相關需求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-85.r5 NIST.800-53.r5 SC-8 SI-7

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ElastiCache::ReplicationGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 ElastiCache 複寫群組是否在傳輸中加密。如果複寫群組未在傳輸中加密，則控制項會失敗。

加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。在 ElastiCache 複寫群組上啟用傳輸中加密會在資料從一個位置移至另一個位置時加密資料，例如叢集中的節點之間，或叢集與您的應用程式之間。

### 修補
<a name="elasticache-5-remediation"></a>

若要在 ElastiCache 複寫群組上設定傳輸中加密，請參閱《*Amazon ElastiCache 使用者指南*》中的[啟用傳輸中加密](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/in-transit-encryption.html)。

## 【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH
<a name="elasticache-6"></a>

**相關要求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::ElastiCache::ReplicationGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-repl-grp-redis-auth-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 ElastiCache (Redis OSS) 複寫群組是否已啟用 Redis OSS AUTH。如果複寫群組節點的 Redis OSS 版本低於 6.0 且未使用，則控制項`AuthToken`會失敗。

當您使用 Redis 身分驗證字符或密碼時，Redis 需要密碼，才能允許用戶端執行命令，以改善資料安全性。對於 Redis 6.0 和更新版本，建議使用角色型存取控制 (RBAC)。由於 Redis 6.0 之前的版本不支援 RBAC，因此此控制項只會評估無法使用 RBAC 功能的版本。

### 修補
<a name="elasticache-6-remediation"></a>

若要在 ElastiCache (Redis OSS) 複寫群組上使用 Redis AUTH，請參閱《*Amazon ElastiCache * [ 使用者指南》中的在現有 ElastiCache (Redis OSS) 叢集上修改 AUTH 字符](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth.html#auth-modifyng-token)。

## 【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組
<a name="elasticache-7"></a>

**相關需求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::ElastiCache::CacheCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-subnet-group-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 ElastiCache 叢集是否已設定自訂子網路群組。如果 ElastiCache 叢集`CacheSubnetGroupName`的值為 ，則控制項會失敗`default`。

啟動 ElastiCache 叢集時，如果尚未存在子網路群組，則會建立預設子網路群組。預設群組使用來自預設虛擬私有雲端 (VPC) 的子網路。建議使用自訂子網路群組，這些群組會更嚴格限制叢集所在的子網路，以及叢集從子網路繼承的聯網。

### 修補
<a name="elasticache-7-remediation"></a>

若要為 ElastiCache 叢集建立新的子網路群組，請參閱《*Amazon ElastiCache 使用者指南*》中的[建立子網路群組](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/SubnetGroups.Creating.html)。

# Elastic Beanstalk 的 Security Hub CSPM 控制項
<a name="elasticbeanstalk-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Elastic Beanstalk 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告
<a name="elasticbeanstalk-1"></a>

**相關要求：**NIST.800-53.r5 CA-7，NIST.800-53.r5 SI-2

**類別：**偵測 > 偵測服務 > 應用程式監控

**嚴重性：**低

**資源類型：** `AWS::ElasticBeanstalk::Environment`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查您的環境是否啟用 AWS Elastic Beanstalk 增強型運作狀態報告。

Elastic Beanstalk 增強型運作狀態報告可更快速回應基礎基礎設施運作狀態的變化。這些變更可能會導致應用程式缺乏可用性。

Elastic Beanstalk 增強型運作狀態報告會提供狀態描述項，評估已識別問題的嚴重性，並找出可能的調查原因。Elastic Beanstalk 運作狀態代理程式包含在支援的 Amazon Machine Image (AMIs) 中，可評估環境 EC2 執行個體的日誌和指標。

如需詳細資訊，請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[增強型運作狀態報告和監控](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html)。

### 修補
<a name="elasticbeanstalk-1-remediation"></a>

如需如何啟用增強型運作狀態報告的指示，請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[使用 Elastic Beanstalk 主控台啟用增強型運作狀態報告](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console)。

## 【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新
<a name="elasticbeanstalk-2"></a>

**相關要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**高

**資源類型：** `AWS::ElasticBeanstalk::Environment`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `UpdateLevel`  |  版本更新層級  |  列舉  |  `minor`, `patch`  |  無預設值  | 

此控制項會檢查是否針對 Elastic Beanstalk 環境啟用受管平台更新。如果未啟用受管平台更新，則控制項會失敗。根據預設，如果啟用任何類型的平台更新，控制項會通過。或者，您可以提供自訂參數值，以要求特定的更新層級。

啟用受管平台更新可確保已安裝環境的最新可用平台修正、更新和功能。隨時掌握修補程式安裝的最新資訊，是保護系統安全的重要步驟。

### 修補
<a name="elasticbeanstalk-2-remediation"></a>

若要啟用受管平台更新，請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[在受管平台更新下設定受管平台更新](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)。

## 【ElasticBeanstalk.3] Elastic Beanstalk 應將日誌串流至 CloudWatch
<a name="elasticbeanstalk-3"></a>

**相關要求：**PCI DSS v4.0.1/10.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**高

**資源類型：** `AWS::ElasticBeanstalk::Environment`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-logs-to-cloudwatch.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `RetentionInDays`  |  在過期前保留日誌事件的天數  |  列舉  |  `1`, `3`, `5`, `7`, `14`, `30`, `60`, `90`, `120`, `150`, `180`, `365` , `400`, `545`, `731`, `1827`, `3653`   |  無預設值  | 

此控制項會檢查 Elastic Beanstalk 環境是否設定為將日誌傳送至 CloudWatch Logs。如果 Elastic Beanstalk 環境未設定為將日誌傳送至 CloudWatch Logs，則控制項會失敗。或者，如果您希望控制項僅在過期前保留指定天數的日誌時傳遞，您可以為 `RetentionInDays` 參數提供自訂值。

CloudWatch 可協助您收集和監控應用程式和基礎設施資源的各種指標。您也可以使用 CloudWatch 根據特定指標設定警示動作。我們建議您將 Elastic Beanstalk 與 CloudWatch 整合，以提高對 Elastic Beanstalk 環境的可見性。Elastic Beanstalk 日誌包括 eb-activity.log、從環境 nginx 或 Apache 代理伺服器存取日誌，以及特定於環境的日誌。

### 修補
<a name="elasticbeanstalk-3-remediation"></a>

若要將 Elastic Beanstalk 與 CloudWatch Logs 整合，請參閱《 *AWS Elastic Beanstalk 開發人員指南*》中的[將執行個體日誌串流至 CloudWatch Logs](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html#AWSHowTo.cloudwatchlogs.streaming)。

# Elastic Load Balancing 的 Security Hub CSPM 控制項
<a name="elb-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Elastic Load Balancing 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS
<a name="elb-1"></a>

**相關要求：**PCI DSS v3.2.1/2.3、PCI DSS v3.2.1/4.1、NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-850.5 NIST.800-53.r5 SC-8 SI-7

**類別：**偵測 > 偵測服務

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Application Load Balancer 的所有 HTTP 接聽程式上是否設定 HTTP 至 HTTPS 重新導向。如果 Application Load Balancer 的任何 HTTP 接聽程式未設定 HTTP 到 HTTPS 重新導向，則控制項會失敗。

開始使用 Application Load Balancer 之前，您必須新增一或多個接聽程式。接聽程式是使用已設定通訊協定和連接埠檢查連線請求的一種程序。接聽程式同時支援 HTTP 和 HTTPS 通訊協定。您可以使用 HTTPS 接聽程式，將加密和解密的工作卸載至負載平衡器。若要強制執行傳輸中的加密，您應該搭配 Application Load Balancer 使用重新導向動作，將用戶端 HTTP 請求重新導向至連接埠 443 上的 HTTPS 請求。

若要進一步了解，請參閱《[Application Load Balancer 使用者指南》中的 Application Load Balancer 的接聽](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html)程式。 **

### 修補
<a name="elb-1-remediation"></a>

若要將 HTTP 請求重新導向至 HTTPS，您必須新增 Application Load Balancer 接聽程式規則或編輯現有規則。

如需新增規則的說明，請參閱《*Application Load Balancer 使用者指南*》中的[新增規則](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule)。針對**通訊協定 ：連接埠**，選擇 **HTTP**，然後輸入 **80**。對於**新增動作，重新導向至**，選擇 **HTTPS**，然後輸入 **443**。

如需編輯現有規則的指示，請參閱《*Application Load Balancer 使用者指南*》中的[編輯規則](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule)。針對**通訊協定 ：連接埠**，選擇 **HTTP**，然後輸入 **80**。對於**新增動作，重新導向至**，選擇 **HTTPS**，然後輸入 **443**。

## 【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager
<a name="elb-2"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(5)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.800NIST.800-53.r5 SC-8.55 SI-7

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Classic Load Balancer 是否使用 AWS Certificate Manager (ACM) 提供的 HTTPS/SSL 憑證。如果使用 HTTPS/SSL 接聽程式設定的 Classic Load Balancer 不使用 ACM 提供的憑證，則控制項會失敗。

若要建立憑證，您可以使用 ACM 或支援 SSL 和 TLS 通訊協定的工具，例如 OpenSSL。Security Hub CSPM 建議您使用 ACM 來建立或匯入負載平衡器的憑證。

ACM 與 Classic Load Balancer 整合，因此您可以在負載平衡器上部署憑證。您也應該自動續約這些憑證。

### 修補
<a name="elb-2-remediation"></a>

如需有關如何將 ACM SSL/TLS 憑證與 Classic Load Balancer 建立關聯的資訊，請參閱 AWS 知識中心文章[如何將 ACM SSL/TLS 憑證與 Classic、Application 或 Network Load Balancer 建立關聯？](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/)

## 【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定
<a name="elb-3"></a>

**相關需求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.800NIST.800-53.r5 SC-855.r5 SI-7 3.13.15

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Classic Load Balancer 接聽程式是否設定為使用 HTTPS 或 TLS 通訊協定進行前端 （用戶端至負載平衡器） 連線。如果 Classic Load Balancer 有接聽程式，則控制項適用。如果您的 Classic Load Balancer 未設定接聽程式，則控制項不會報告任何問題清單。

如果 Classic Load Balancer 接聽程式是針對前端連線使用 TLS 或 HTTPS 設定，則控制項會通過。

如果未使用 TLS 或 HTTPS 為前端連線設定接聽程式，則控制項會失敗。

開始使用負載平衡器之前，您必須新增一或多個接聽程式。接聽程式是使用已設定通訊協定和連接埠檢查連線請求的一種程序。接聽程式可以同時支援 HTTP 和 HTTPS/TLS 通訊協定。您應該一律使用 HTTPS 或 TLS 接聽程式，以便負載平衡器在傳輸中執行加密和解密工作。

### 修補
<a name="elb-3-remediation"></a>

若要修復此問題，請更新您的接聽程式以使用 TLS 或 HTTPS 通訊協定。

**將所有不合規接聽程式變更為 TLS/HTTPS 接聽程式**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格的 **Load Balancing (負載平衡)** 下方，選擇 **Load Balancers (負載平衡器)**。

1. 選取您的 Classic Load Balancer。

1. 在 **Listeners (接聽程式)** 標籤上，選擇 **Edit (編輯)**。

1. 對於未將**Load Balancer通訊協定**設定為 HTTPS 或 SSL 的所有接聽程式，請將設定變更為 HTTPS 或 SSL。

1. 對於所有修改過的接聽程式，在**憑證**索引標籤上，選擇**變更預設值**。

1. 對於 **ACM 和 IAM 憑證**，請選取憑證。

1. 選擇**儲存為預設**。

1. 更新所有接聽程式後，請選擇**儲存**。

## 【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭
<a name="elb-4"></a>

**相關要求：**NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/6.2.4

**類別：**保護 > 網路安全

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會評估 Application Load Balancer 是否設定為捨棄無效的 HTTP 標頭。如果 的值`routing.http.drop_invalid_header_fields.enabled`設為 ，則控制項會失敗`false`。

根據預設，Application Load Balancer 不會設定為捨棄無效的 HTTP 標頭值。移除這些標頭值可防止 HTTP 非同步攻擊。

**注意**  
如果您的帳戶已啟用 ELB.12，我們建議您停用此控制項。如需詳細資訊，請參閱[【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](#elb-12)。

### 修補
<a name="elb-4-remediation"></a>

若要修復此問題，請將負載平衡器設定為捨棄無效的標頭欄位。

**若要設定負載平衡器以捨棄無效的標頭欄位**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格上，選擇 **Load balancers (負載平衡器)**。

1. 選擇 Application Load Balancer。

1. 在**動作**中，選擇**編輯屬性**。

1. 在**捨棄無效標頭欄位**下，選擇**啟用**。

1. 選擇**儲存**。

## 【ELB.5】 應啟用應用程式和 Classic Load Balancer 記錄
<a name="elb-5"></a>

**相關要求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：**`AWS::ElasticLoadBalancing::LoadBalancer`、 `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Application Load Balancer 和 Classic Load Balancerhave 記錄是否已啟用。如果 `access_logs.s3.enabled`為 ，則控制項會失敗`false`。

Elastic Load Balancing 提供存取日誌，可針對傳送到負載平衡器的請求，擷取其詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。您可以使用這些存取日誌來分析流量模式和排除問題。

若要進一步了解，請參閱 [Classic Load Balancer 使用者指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)*中的存取 Classic Load Balancer 的*日誌。

### 修補
<a name="elb-5-remediation"></a>

若要啟用存取日誌，請參閱 *Application Load Balancer 使用者指南*中的[步驟 3：設定存取日誌](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs)。

## 【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護
<a name="elb-6"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Application、Gateway 或 Network Load Balancer 是否已啟用刪除保護。如果停用刪除保護，則控制項會失敗。

啟用刪除保護，以保護 Application、Gateway 或 Network Load Balancer 免於刪除。

### 修補
<a name="elb-6-remediation"></a>

為避免您的負載平衡器上遭意外刪除，您可以啟用刪除保護。您的負載平衡器的刪除保護預設為停用。

如果您為負載平衡器啟用刪除保護，您必須先停用刪除保護，才能刪除負載平衡器。

若要啟用 Application Load Balancer 的刪除保護，請參閱*《Application Load Balancer 使用者指南*》中的[刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection)。若要啟用 Gateway Load Balancer 的刪除保護，請參閱《*Gateway Load Balancer 使用者指南*》中的[刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection)。若要啟用 Network Load Balancer 的刪除保護，請參閱 *Network Load Balancer 使用者指南*中的[刪除保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection)。

## 【ELB.7】 Classic Load Balancer 應啟用連線耗盡
<a name="elb-7"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**復原 > 恢復能力

**嚴重性：**低

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config rule：**`elb-connection-draining-enabled`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Classic Load Balancer 是否已啟用連線耗盡。

在 Classic Load Balancer 上啟用連線耗盡，可確保負載平衡器停止將請求傳送至取消註冊或運作狀態不佳的執行個體。它會保持現有連線開啟。這對於 Auto Scaling 群組中的執行個體特別有用，以確保連線不會突然中斷。

### 修補
<a name="elb-7-remediation"></a>

若要在 Classic Load Balancer 上啟用連線耗盡，請參閱 [Classic Load Balancer 使用者指南中的設定 Classic Load Balancer 的連線耗盡](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html)。 **

## 【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策，該政策具有強烈驅動
<a name="elb-8"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8 SI-7 3.13.150

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)

**排程類型：**已觸發變更

**參數：**
+ `predefinedPolicyName`：`ELBSecurityPolicy-TLS-1-2-2017-01`（不可自訂）

此控制項會檢查您的 Classic Load Balancer HTTPS/SSL 接聽程式是否使用預先定義的政策 `ELBSecurityPolicy-TLS-1-2-2017-01`。如果 Classic Load Balancer HTTPS/SSL 接聽程式不使用 ，則控制項會失敗`ELBSecurityPolicy-TLS-1-2-2017-01`。

安全政策是 SSL 通訊協定、密碼和伺服器訂單偏好設定選項的組合。預先定義的政策控制在用戶端和負載平衡器之間的 SSL 交涉期間支援的加密、通訊協定和偏好設定順序。

使用 `ELBSecurityPolicy-TLS-1-2-2017-01`可協助您符合需要停用特定版本 SSL 和 TLS 的合規和安全標準。如需詳細資訊，請參閱 [Classic Load Balancer 使用者指南中的 Classic Load Balancer 的預先定義 SSL 安全政策](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html)。 **

### 修補
<a name="elb-8-remediation"></a>

如需如何`ELBSecurityPolicy-TLS-1-2-2017-01`搭配 Classic Load Balancer 使用預先定義安全政策的資訊，請參閱 *Classic Load Balancer 使用者指南*中的[設定安全設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth)。

## 【ELB.9】 Classic Load Balancer 應啟用跨區域負載平衡
<a name="elb-9"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Classic Load Balancer (CLBs) 是否已啟用跨區域負載平衡。如果未針對 CLB 啟用跨區域負載平衡，則控制項會失敗。

負載平衡器節點只會在其可用區域中的已註冊目標之間分配流量。停用跨區域負載平衡時，每個負載平衡器節點只會將流量分發到其可用區域內已註冊的目標。如果已註冊的目標數量在可用區域之間不同，流量將不會平均分配，且相較於另一個區域的執行個體，一個區域中的執行個體最終可能會過度使用。啟用跨區域負載平衡後，Classic Load Balancer 的每個負載平衡器節點會將請求平均分配到所有已啟用可用區域中的已註冊執行個體。如需詳細資訊，請參閱《Elastic Load Balancing 使用者指南》中的[跨區域負載平衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing)。

### 修補
<a name="elb-9-remediation"></a>

若要在 Classic Load Balancer 中啟用跨區域負載平衡，請參閱 *Classic Load Balancer 使用者指南中的*[啟用跨區域負載平衡](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone)。

## 【ELB.10】 Classic Load Balancer 應跨越多個可用區域
<a name="elb-10"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用區域數目下限  |  列舉  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控制項會檢查 Classic Load Balancer 是否已設定為至少跨越指定數量的可用區域 (AZs)。如果 Classic Load Balancer 未至少跨越指定數量AZs，則控制項會失敗。除非您提供最低 AZs 數量的自訂參數值，否則 Security Hub CSPM 會使用兩個 AZs的預設值。

 Classic Load Balancer 可設定為在單一可用區域中或多個可用區域中跨 Amazon EC2 執行個體分配傳入請求。如果唯一設定的可用區域無法使用，則未跨越多個可用區域的 Classic Load Balancer 無法將流量重新導向至另一個可用區域中的目標。

### 修補
<a name="elb-10-remediation"></a>

 若要將可用區域新增至 Classic Load Balancer，請參閱 [Classic Load Balancer 使用者指南中的新增或移除 Classic Load Balancer 的子網路](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html)。 **

## 【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式
<a name="elb-12"></a>

**相關要求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/6.2.4

**類別：**保護 > 資料保護 > 資料完整性

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)

**排程類型：**已觸發變更

**參數：**
+ `desyncMode`：`defensive, strictest`（不可自訂）

此控制項會檢查 Application Load Balancer 是否設定為防禦性還是最嚴格的非同步緩解模式。如果 Application Load Balancer 未設定為防禦性或最嚴格的非同步緩解模式，則控制項會失敗。

HTTP Desync 問題可能導致請求走私，並讓應用程式容易受到請求佇列或快取中毒的影響。反之，這些漏洞可能會導致登入資料填充或執行未經授權的命令。使用防禦性或最嚴格的非同步緩解模式設定的 Application Load Balancer 可保護您的應用程式免於 HTTP Desync 可能導致的安全問題。

### 修補
<a name="elb-12-remediation"></a>

若要更新 Application Load Balancer 的取消同步緩解模式，請參閱*《Application Load Balancer 使用者指南*》中的[取消同步緩解模式](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode)。

## 【ELB.13】 應用程式、網路和閘道負載平衡器應跨越多個可用區域
<a name="elb-13"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性 

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minAvailabilityZones`  |  可用區域數目下限  |  列舉  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控制項會檢查 Elastic Load Balancer V2 （應用程式、網路或閘道Load Balancer) 是否已從至少指定數量的可用區域 (AZs) 註冊執行個體。如果 Elastic Load Balancer V2 沒有在至少指定數量的 AZs 中註冊的執行個體，則控制項會失敗。除非您提供最低 AZs 數量的自訂參數值，否則 Security Hub CSPM 會使用兩個 AZs的預設值。

Elastic Load Balancing 會自動將傳入流量分配到一或多個可用區域中的多個目標，例如 EC2 執行個體、容器和 IP 地址。當傳入流量隨著時間發生變化，Elastic Load Balancing 會擴展您的負載平衡器。建議設定至少兩個可用區域以確保服務的可用性，因為如果某個可用區域無法使用，Elastic Load Balancer 將能夠將流量導向另一個可用區域。設定多個可用區域有助於消除應用程式的單一故障點。

### 修補
<a name="elb-13-remediation"></a>

若要將可用區域新增至 Application Load Balancer，請參閱《Application [ Application Load Balancer》中的 Application Load Balancer 的可用區域](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html)。 **若要將可用區域新增至 Network Load Balancer，請參閱 [Network Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) *使用者指南中的 Network Load Balancer*。若要將可用區域新增至閘道Load Balancer，請參閱[《閘道Load Balancer使用者指南》中的建立](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html)*閘道負載平衡器*。

## 【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式
<a name="elb-14"></a>

**相關要求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/6.2.4

**類別：**保護 > 資料保護 > 資料完整性

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancing::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)

**排程類型：**已觸發變更

**參數：**
+ `desyncMode`：`defensive, strictest`（不可自訂）

此控制項會檢查 Classic Load Balancer 是否設定為防禦性還是最嚴格的非同步緩解模式。如果 Classic Load Balancer 未設定為防禦性或最嚴格的非同步緩解模式，則控制項會失敗。

HTTP Desync 問題可能導致請求走私，並讓應用程式容易受到請求佇列或快取中毒的影響。反之，這些漏洞可能會導致登入資料遭到劫持或執行未經授權的命令。使用防禦性或最嚴格的非同步緩解模式設定的 Classic Load Balancer 可保護您的應用程式免於 HTTP Desync 可能導致的安全問題。

### 修補
<a name="elb-14-remediation"></a>

若要更新 Classic Load Balancer 上的非同步緩解模式，請參閱 *Classic Load Balancer 使用者指南*中的[修改非同步緩解模式](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode)。

## 【ELB.16】 Application Load Balancer 應與 AWS WAF Web ACL 建立關聯
<a name="elb-16"></a>

**相關要求：**NIST.800-53.r5 AC-4(21)

**類別：**保護 > 保護服務

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::LoadBalancer`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Application Load Balancer 是否與 AWS WAF Classic 或 AWS WAF Web 存取控制清單 (Web ACL) 相關聯。如果 AWS WAF 組態`Enabled`的欄位設定為 ，則控制項會失敗`false`。

AWS WAF 是一種 Web 應用程式防火牆，可協助保護 Web 應用程式和 APIs免受攻擊。您可以使用 AWS WAF設定 Web ACL，這是一組規則，可根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。我們建議您將 Application Load Balancer 與 AWS WAF Web ACL 建立關聯，以協助保護 Application Load Balancer 免受惡意攻擊。

### 修補
<a name="elb-16-remediation"></a>

若要將 Application Load Balancer 與 Web ACL 建立關聯，請參閱《 *AWS WAF 開發人員指南*》中的[將 Web ACL 與 AWS 資源建立關聯或取消關聯](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html)。

## 【ELB.17】 具有接聽程式的應用程式和網路負載平衡器應使用建議的安全政策
<a name="elb-17"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.NIST.800-53.r5 SC-85.r5 SI-7

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)

**排程類型：**已觸發變更

**參數：**`sslPolicies`： `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`（不可自訂）

此控制項會檢查 Application Load Balancer 的 HTTPS 接聽程式或 Network Load Balancer 的 TLS 接聽程式是否設定為使用建議的安全政策來加密傳輸中的資料。如果負載平衡器的 HTTPS 或 TLS 接聽程式未設定為使用建議的安全政策，則控制項會失敗。

Elastic Load Balancing 使用稱為*安全政策*的 SSL 交涉組態，來交涉用戶端和負載平衡器之間的連線。安全政策會指定通訊協定和密碼的組合。通訊協定會在用戶端和伺服器之間建立安全連線。密碼是一種加密演算法，使用加密金鑰來建立編碼的訊息。在連線交涉程序期間，用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。使用建議的負載平衡器安全政策可協助您符合合規和安全標準。

### 修補
<a name="elb-17-remediation"></a>

如需建議安全政策以及如何更新接聽程式的資訊，請參閱 *Elastic Load Balancing 使用者指南*的下列章節：[Application Load Balancer 的安全政策](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html)、[Network Load Balancer 的安全政策](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html)、[更新 Application Load Balancer 的 HTTPS 接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html)，以及[更新 Network Load Balancer 的接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html)。

## 【ELB.18】 應用程式和 Network Load Balancer 接聽程式應使用安全通訊協定來加密傳輸中的資料
<a name="elb-18"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::Listener`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Application Load Balancer 或 Network Load Balancer 的接聽程式是否設定為使用安全通訊協定來加密傳輸中的資料。如果 Application Load Balancer 接聽程式未設定為使用 HTTPS 通訊協定，或 Network Load Balancer 接聽程式未設定為使用 TLS 通訊協定，則控制項會失敗。

若要加密用戶端和負載平衡器之間傳輸的資料，Elastic Load Balancer 接聽程式應設定為使用產業標準安全通訊協定：適用於 Application Load Balancer 的 HTTPS 或適用於 Network Load Balancer 的 TLS。否則，用戶端和負載平衡器之間傳輸的資料容易遭到攔截、竄改和未經授權的存取。接聽程式使用 HTTPS 或 TLS 符合安全最佳實務，有助於確保傳輸期間資料的機密性和完整性。這對處理敏感資訊的應用程式特別重要，或必須符合需要傳輸中資料加密的安全標準。

### 修補
<a name="elb-18-remediation"></a>

如需為接聽程式設定安全通訊協定的資訊，請參閱 *Elastic Load Balancing 使用者指南*的下列章節：[為 Application Load Balancer 建立 HTTPS 接聽程式，](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)並為 [Network Load Balancer 建立接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html)。

## 【ELB.21】 應用程式和 Network Load Balancer 目標群組應使用加密的運作狀態檢查通訊協定
<a name="elb-21"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查應用程式和網路負載平衡器運作狀態檢查的目標群組是否使用加密的傳輸通訊協定。如果運作狀態檢查通訊協定不使用 HTTPS，則控制項會失敗。此控制項不適用於 Lambda 目標類型。

 負載平衡器會將運作狀態檢查請求傳送至已註冊的目標，以判斷其狀態並相應地路由流量。目標群組組態中指定的運作狀態檢查通訊協定會決定執行這些檢查的方式。當運作狀態檢查通訊協定使用 HTTP 等未加密通訊時，可以在傳輸期間攔截或操作請求和回應。這可讓攻擊者深入了解基礎設施組態、竄改運作狀態檢查結果，或進行會影響路由決策man-in-the-middle攻擊。使用 HTTPS 進行運作狀態檢查可在負載平衡器及其目標之間提供加密通訊，以保護運作狀態資訊的完整性和機密性。

### 修補
<a name="elb-21-remediation"></a>

若要設定 Application Load Balancer 目標群組的加密運作狀態檢查，請參閱 *Elastic Load Balancing 使用者指南*中的[更新 Application Load Balancer 目標群組的運作狀態檢查設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html)。若要設定 Network Load Balancer 目標群組的加密運作狀態檢查，請參閱《*Elastic Load Balancing 使用者指南*》中的[更新 Network Load Balancer 目標群組的運作狀態檢查設定](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html)。

## 【ELB.22】 ELB 目標群組應使用加密傳輸通訊協定
<a name="elb-22"></a>

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::ElasticLoadBalancingV2::TargetGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Elastic Load Balancing 目標群組是否使用加密的傳輸通訊協定。此控制項不適用於目標類型為 Lambda 或 ALB 的目標群組，或使用 GENEVE 通訊協定的目標群組。如果目標群組不使用 HTTPS、TLS 或 QUIC 通訊協定，則控制項會失敗。

 加密傳輸中的資料可保護資料不受未經授權的使用者攔截。使用未加密通訊協定 (HTTP、TCP、UDP) 的目標群組在沒有加密的情況下傳輸資料，因此容易遭到竊聽。使用加密通訊協定 (HTTPS、TLS、QUIC) 可確保負載平衡器和目標之間傳輸的資料受到保護。

### 修補
<a name="elb-22-remediation"></a>

若要使用加密的通訊協定，您必須使用 HTTPS、TLS 或 QUIC 通訊協定建立新的目標群組。目標群組通訊協定無法在建立後修改。若要建立 Application Load Balancer 目標群組，請參閱 *Elastic Load Balancing 使用者指南*中的[為 Application Load Balancer 建立目標群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html)。若要建立 Network Load Balancer 目標群組，請參閱 *Elastic Load Balancing 使用者指南*中的[為 Network Load Balancer 建立目標群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html)。

# 適用於 Elasticsearch 的 Security Hub CSPM
<a name="es-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Elasticsearch 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ES.1】 Elasticsearch 網域應該啟用靜態加密
<a name="es-1"></a>

**相關要求：**PCI DSS v3.2.1/3.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Elasticsearch 網域是否已啟用靜態加密組態。如果未啟用靜態加密，則檢查會失敗。

為了為 OpenSearch 中的敏感資料增加一層安全性，您應該將 OpenSearch 設定為靜態加密。Elasticsearch 網域提供靜態資料的加密。此功能使用 AWS KMS 來存放和管理加密金鑰。為了執行加密，其會使用 256 位元金鑰的進階加密標準演算法 (AES-256)。

若要進一步了解 OpenSearch 靜態加密，請參閱《[Amazon OpenSearch Service 開發人員指南》中的 Amazon OpenSearch Service 靜態資料加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)。 * OpenSearch *

`t.small` 和 等特定執行個體類型`t.medium`不支援靜態資料加密。如需詳細資訊，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[支援的執行個體類型](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html)。

### 修補
<a name="es-1-remediation"></a>

若要為新的和現有的 Elasticsearch 網域啟用靜態加密，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用靜態資料加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)。

## 【ES.2】 不應公開存取 Elasticsearch 網域
<a name="es-2"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4-4(21)、NIST.800-53.r5 AC-60 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態 > VPC 內的資源 

**嚴重性：**嚴重

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Elasticsearch 網域是否位於 VPC 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[資源型政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)。您也應該確保您的 VPC 已根據建議的最佳實務進行設定。請參閱《*Amazon* [VPC 使用者指南》中的 VPC 的安全最佳實務](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。

部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊，而不需要周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制，以安全存取 Elasticsearch 網域，包括網路 ACL 和安全群組。Security Hub CSPM 建議您將公有 Elasticsearch 網域遷移至 VPCs，以利用這些控制項。

### 修補
<a name="es-2-remediation"></a>

如果您建立了具備公有端點的網域，您稍後便無法將其置放於 VPC 內。反之，您必須建立新網域並遷移您的資料。反之亦然。如果您在 VPC 中建立了網域，該網域便無法擁有公有端點。您必須改為[建立另一個網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html)或停用此控制項。

請參閱《[Amazon OpenSearch Service 開發人員指南》中的在 VPC 中啟動 Amazon OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)。 * OpenSearch *

## 【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料
<a name="es-3"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Elasticsearch 網域是否已啟用node-to-node加密。如果 Elasticsearch 網域未啟用node-to-node加密，則控制項會失敗。如果 Elasticsearch 版本不支援node-to-node加密檢查，控制項也會產生失敗的問題清單。

HTTPS (TLS) 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 Elasticsearch 網域的node-to-node加密，可確保叢集內通訊在傳輸中加密。

與此組態相關聯的效能可能會受到懲罰。在啟用此選項之前，您應該注意並測試效能權衡。

### 修補
<a name="es-3-remediation"></a>

如需有關在新的和現有的網域上啟用node-to-node加密的資訊，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用node-to-node加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)。

## 【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤
<a name="es-4"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7

**類別：**識別 ‒ 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)

**排程類型：**變更已觸發

**參數：**
+ `logtype = 'error'` （不可自訂）

此控制項會檢查 Elasticsearch 網域是否設定為將錯誤日誌傳送至 CloudWatch Logs。

您應該啟用 Elasticsearch 網域的錯誤日誌，並將這些日誌傳送至 CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。

### 修補
<a name="es-4-remediation"></a>

如需如何啟用日誌發佈的資訊，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用日誌發佈 （主控台）](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。

## 【ES.5】 Elasticsearch 網域應該啟用稽核記錄
<a name="es-5"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config rule：**`elasticsearch-audit-logging-enabled`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**
+ `cloudWatchLogsLogGroupArnList` （不可自訂）。Security Hub CSPM 不會填入此參數。應為稽核日誌設定的 CloudWatch Logs 日誌群組逗號分隔清單。

  `NON_COMPLIANT` 如果在此參數清單中未指定 Elasticsearch 網域的 CloudWatch Logs 日誌群組，則此規則為 。

此控制項會檢查 Elasticsearch 網域是否已啟用稽核記錄。如果 Elasticsearch 網域未啟用稽核記錄，則此控制會失敗。

稽核日誌可高度自訂。它們可讓您追蹤 Elasticsearch 叢集上的使用者活動，包括身分驗證成功和失敗、對 OpenSearch 的請求、索引變更，以及傳入的搜尋查詢。

### 修補
<a name="es-5-remediation"></a>

如需啟用稽核日誌的詳細資訊，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用稽核日誌](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)。

## 【ES.6】 Elasticsearch 網域應至少具有三個資料節點
<a name="es-6"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config rule：**`elasticsearch-data-node-fault-tolerance`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Elasticsearch 網域是否已設定至少三個資料節點，且`zoneAwarenessEnabled`為 `true`。

Elasticsearch 網域需要至少三個資料節點，以實現高可用性和容錯能力。部署具有至少三個資料節點的 Elasticsearch 網域可確保在節點失敗時執行叢集操作。

### 修補
<a name="es-6-remediation"></a>

**修改 Elasticsearch 網域中的資料節點數量**

1. 開啟位於 https：//[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) 的 Amazon OpenSearch Service 主控台。

1. 在**網域**下，選擇您要編輯的網域名稱。

1. 選擇 **Edit domain (編輯網域)**。

1. 在**資料節點**下，將**節點數量**設定為大於或等於 的數字`3`。

   針對三個可用區域部署，將 設定為三個的倍數，以確保可用區域之間的分佈相等。

1. 選擇**提交**。

## 【ES.7】 Elasticsearch 網域應該至少設定三個專用主節點
<a name="es-7"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config rule：**`elasticsearch-primary-node-fault-tolerance`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Elasticsearch 網域是否已設定至少三個專用主節點。如果網域不使用專用主節點，則此控制會失敗。如果 Elasticsearch 網域有五個專用主節點，則此控制項會通過。不過，使用三個以上的主節點可能不需要用來降低可用性風險，而且會產生額外的成本。

Elasticsearch 網域需要至少三個專用主節點，以實現高可用性和容錯能力。專用主節點資源在資料節點藍/綠部署期間可能會受到壓力，因為還有其他節點需要管理。部署具有至少三個專用主節點的 Elasticsearch 網域，可確保在節點失敗時有足夠的主節點資源容量和叢集操作。

### 修補
<a name="es-7-remediation"></a>

**修改 OpenSearch 網域中專用主節點的數量**

1. 開啟位於 https：//[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/) 的 Amazon OpenSearch Service 主控台。

1. 在**網域**下，選擇您要編輯的網域名稱。

1. 選擇 **Edit domain (編輯網域)**。

1. 在**專用主節點**下，將**執行個體類型**設定為所需的執行個體類型。

1. 將**主節點數目**設定為等於三個或大於三個。

1. 選擇**提交**。

## 【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線
<a name="es-8"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.NIST.800-53.r5 SC-855.r5 SI-7

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config rule：**`elasticsearch-https-required`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Elasticsearch 網域端點是否設定為使用最新的 TLS 安全政策。如果 Elasticsearch 網域端點未設定為使用最新支援的政策，或未啟用 HTTPs則控制項會失敗。目前支援的最新 TLS 安全政策為 `Policy-Min-TLS-1-2-PFS-2023-10`。

HTTPS (TLS) 可用來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。加密傳輸中的資料可能會影響效能。您應該使用此功能測試應用程式，以了解效能描述檔和 TLS 的影響。TLS 1.2 提供相較於舊版 TLS 的數個安全性增強功能。

### 修補
<a name="es-8-remediation"></a>

若要啟用 TLS 加密，請使用 [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) API 操作來設定[https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)物件。這會設定 `TLSSecurityPolicy`。

## 【ES.9】 應標記 Elasticsearch 網域
<a name="es-9"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Elasticsearch::Domain`

**AWS Config rule：**`tagged-elasticsearch-domain`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Elasticsearch 網域是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果網域沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果網域未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="es-9-remediation"></a>

若要將標籤新增至 Elasticsearch 網域，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[使用標籤](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)。

# Amazon EMR 的 Security Hub CSPM 控制項
<a name="emr-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon EMR （先前稱為 Amazon Elastic MapReduce) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址
<a name="emr-1"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4)、NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::EMR::Cluster`

**AWS Config 規則：**[emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon EMR 叢集上的主節點是否具有公有 IP 地址。如果公有 IP 地址與任何主節點執行個體相關聯，則控制項會失敗。

公有 IP 地址是在執行個體`NetworkInterfaces`組態的 `PublicIp` 欄位中指定。此控制項只會檢查處於 `RUNNING`或 `WAITING` 狀態的 Amazon EMR 叢集。

### 修補
<a name="emr-1-remediation"></a>

在啟動期間，您可以控制預設或非預設子網路中的執行個體是否已指派公有 IPv4 地址。根據預設，預設子網路會將此屬性設定為 `true`。非預設子網路的 IPv4 公有定址屬性設定為 `false`，除非是由 Amazon EC2 啟動執行個體精靈建立。在這種情況下， 屬性會設定為 `true`。

啟動後，您無法手動取消公有 IPv4 地址與執行個體的關聯。

若要修復失敗的問題清單，您必須在 VPC 中啟動新的叢集，其私有子網路的 IPv4 公有定址屬性設定為 `false`。如需指示，請參閱《*Amazon EMR 管理指南*》中的[在 VPC 中啟動叢集](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html)。

## 【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定
<a name="emr-2"></a>

**相關要求：**PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7 

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**嚴重

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查您的帳戶是否已設定 Amazon EMR 封鎖公開存取。如果未啟用封鎖公開存取設定，或允許連接埠 22 以外的任何連接埠，則控制項會失敗。

如果叢集具有允許來自連接埠上公有 IP 地址的傳入流量的安全組態，Amazon EMR 封鎖公有存取會阻止您在公有子網路中啟動叢集。在您的 AWS 帳戶 中的使用者啟動叢集時，Amazon EMR 會檢查叢集安全群組中的連接埠規則，並將其與您的傳入流量規則進行比較。如果安全群組具有開啟公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 ::/0 連接埠的傳入規則，且這些連接埠未指定為您帳戶的例外狀況，則 Amazon EMR 不會允許使用者建立叢集。

**注意**  
預設為啟用封鎖公開存取。為了增強帳戶保護，建議您保持啟用狀態。

### 修補
<a name="emr-2-remediation"></a>

若要設定 Amazon EMR 的封鎖公開存取，請參閱《[Amazon EMR 管理指南》中的使用 Amazon EMR 封鎖公開存取](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html)。 **

## 【EMR.3】 Amazon EMR 安全組態應靜態加密
<a name="emr-3"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::EMR::SecurityConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EMR 安全組態是否已啟用靜態加密。如果安全組態未啟用靜態加密，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="emr-3-remediation"></a>

若要在 Amazon EMR 安全組態中啟用靜態加密，請參閱《*Amazon EMR 管理指南*》中的[設定資料加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。

## 【EMR.4】 Amazon EMR 安全組態應在傳輸中加密
<a name="emr-4"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::EMR::SecurityConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EMR 安全組態是否已啟用傳輸中加密。如果安全組態未啟用傳輸中的加密，則控制項會失敗。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如叢集中的節點之間，或叢集與您的應用程式之間。資料可能會跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。

### 修補
<a name="emr-4-remediation"></a>

若要在 Amazon EMR 安全組態中啟用傳輸中加密，請參閱《*Amazon EMR 管理指南*》中的[設定資料加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。

# EventBridge 的 Security Hub CSPM 控制項
<a name="eventbridge-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon EventBridge 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【EventBridge.2] 應標記 EventBridge 事件匯流排
<a name="eventbridge-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Events::EventBus`

**AWS Config rule：**`tagged-events-eventbus`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon EventBridge 事件匯流排是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果事件匯流排沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果事件匯流排未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="eventbridge-2-remediation"></a>

若要將標籤新增至 EventBridge 事件匯流排，請參閱《[Amazon EventBridge 使用者指南》中的 Amazon EventBridge 標籤](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)。 * EventBridge *

## 【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策
<a name="eventbridge-3"></a>

**相關要求：**NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)、PCI DSS v4.0.1/10.3.1

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**低

**資源類型：** `AWS::Events::EventBus`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EventBridge 自訂事件匯流排是否已連接以資源為基礎的政策。如果自訂事件匯流排沒有以資源為基礎的政策，則此控制會失敗。

根據預設，EventBridge 自訂事件匯流排未連接以資源為基礎的政策。這可讓帳戶中的主體存取事件匯流排。透過將資源型政策連接到事件匯流排，您可以將事件匯流排的存取權限制在指定的 帳戶，以及刻意將存取權授予另一個帳戶中的實體。

### 修補
<a name="eventbridge-3-remediation"></a>

若要將資源型政策連接至 EventBridge 自訂事件匯流排，請參閱《[Amazon EventBridge 使用者指南》中的為 Amazon EventBridge 使用資源型政策](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html)。 * EventBridge *

## 【EventBridge.4] EventBridge 全域端點應啟用事件複寫
<a name="eventbridge-4"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Events::Endpoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon EventBridge 全域端點是否已啟用事件複寫。如果全域端點未啟用事件複寫，則控制項會失敗。

全域端點有助於讓您的應用程式具有區域容錯能力。若要開始，請將 Amazon Route 53 運作狀態檢查指派給端點。啟動容錯移轉時，運作狀態檢查會報告「運作狀態不良」狀態。在容錯移轉初始化的幾分鐘內，所有自訂事件都會路由至次要區域中的事件匯流排，並由該事件匯流排處理。當您使用全域端點時，您可以啟用事件複寫。事件複寫會使用受管規則，將所有自訂事件傳送至主要和次要區域中的事件匯流排。建議您在設定全域端點時啟用事件複寫。事件複寫可協助您確認已正確設定全域端點。需要事件複寫，才能從容錯移轉事件自動復原。如果您沒有啟用事件複寫，您必須先手動將 Route 53 運作狀態檢查重設為「運作狀態」，事件才會重新路由回主要區域。

**注意**  
如果您使用的是自訂事件匯流排，則每個區域中都需要具有相同名稱和相同帳戶中的自訂甚至匯流排，容錯移轉才能正常運作。啟用事件複寫可能會增加您的每月成本。如需定價的詳細資訊，請參閱 [Amazon EventBridge 定價](https://aws.amazon.com/eventbridge/pricing/)。

### 修補
<a name="eventbridge-4-remediation"></a>

若要啟用 EventBridge 全域端點的事件複寫，請參閱《*Amazon EventBridge 使用者指南*》中的[建立全域端點](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint)。針對**事件複寫**，選取**啟用事件複寫**。

# Amazon Fraud Detector 的 Security Hub CSPM 控制項
<a name="frauddetector-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Fraud Detector 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【FraudDetector.1] Amazon Fraud Detector 實體類型應加上標籤
<a name="frauddetector-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::FraudDetector::EntityType`

**AWS Config 規則：**`frauddetector-entity-type-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Fraud Detector 實體類型是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果實體類型沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果實體類型未標記任何索引鍵，則 控制項會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="frauddetector-1-remediation"></a>

**將標籤新增至 Amazon Fraud Detector 實體類型 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) 的 Amazon Fraud Detector 主控台。

1. 在導覽窗格中，選擇**實體**。

1. 從清單中選擇實體類型。

1. 在**實體類型標籤**區段中，選擇**管理標籤**。

1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

## 【FraudDetector.2] Amazon Fraud Detector 標籤應加上標籤
<a name="frauddetector-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::FraudDetector::Label`

**AWS Config 規則：**`frauddetector-label-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Fraud Detector 標籤是否具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果標籤沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果標籤未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="frauddetector-2-remediation"></a>

**將標籤新增至 Amazon Fraud Detector 標籤 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) 的 Amazon Fraud Detector 主控台。

1. 在導覽窗格中，選擇**標籤**。

1. 從清單中選擇標籤。

1. 在**標籤**區段中，選擇**管理標籤**。

1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

## 【FraudDetector.3] Amazon Fraud Detector 結果應加上標籤
<a name="frauddetector-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::FraudDetector::Outcome`

**AWS Config 規則：**`frauddetector-outcome-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Fraud Detector 結果是否具有含參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果結果沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果結果未標記任何索引鍵，則失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="frauddetector-3-remediation"></a>

**將標籤新增至 Amazon Fraud Detector 結果 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) 的 Amazon Fraud Detector 主控台。

1. 在導覽窗格中，選擇**結果**。

1. 從清單中選擇結果。

1. 在**結果標籤**區段中，選擇**管理標籤**。

1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

## 【FraudDetector.4] Amazon Fraud Detector 變數應加上標籤
<a name="frauddetector-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::FraudDetector::Variable`

**AWS Config 規則：**`frauddetector-variable-tagged`

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Fraud Detector 變數是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果變數沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果變數未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="frauddetector-4-remediation"></a>

**將標籤新增至 Amazon Fraud Detector 變數 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/frauddetector](https://console.aws.amazon.com/frauddetector/) 的 Amazon Fraud Detector 主控台。

1. 在導覽窗格中，選擇**變數**。

1. 從清單中選擇變數。

1. 在**變數標籤**區段中，選擇**管理標籤**。

1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

1. 當您完成新增標籤的作業時，請選擇 **Save (儲存)**。

# Amazon FSx 的 Security Hub CSPM 控制項
<a name="fsx-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon FSx 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區
<a name="fsx-1"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::FSx::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-copy-tags-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon FSx for OpenZFS 檔案系統是否設定為將標籤複製到備份和磁碟區。如果未將 OpenZFS 檔案系統設定為將標籤複製到備份和磁碟區，則控制項會失敗。

識別和清查您的 IT 資產是控管和安全性的重要層面。標籤可協助您以不同的方式分類 AWS 資源，例如依用途、擁有者或環境。當您有許多相同類型的資源時，這會很有用，因為您可以根據指派給該資源的標籤快速識別特定資源。

### 修補
<a name="fsx-1-remediation"></a>

如需有關設定 FSx for OpenZFS 檔案系統以將標籤複製到備份和磁碟區的資訊，請參閱《*Amazon FSx for OpenZFS 使用者指南*》中的[更新檔案系統](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/updating-file-system.html)。

## 【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份
<a name="fsx-2"></a>

**相關需求：**NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::FSx::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-lustre-copy-tags-to-backups.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon FSx for Lustre 檔案系統是否設定為將標籤複製到備份和磁碟區。如果未將 Lustre 檔案系統設定為將標籤複製到備份和磁碟區，則控制項會失敗。

識別和清查您的 IT 資產是控管和安全性的重要層面。標籤可協助您以不同的方式分類 AWS 資源，例如依用途、擁有者或環境。當您有許多相同類型的資源時，這會很有用，因為您可以根據指派給該資源的標籤快速識別特定資源。

### 修補
<a name="fsx-2-remediation"></a>

如需有關設定 FSx for Lustre 檔案系統將標籤複製到備份的資訊，請參閱《*Amazon FSx for Lustre 使用者指南*》中的在[相同的 內複製備份 AWS 帳戶](https://docs.aws.amazon.com/fsx/latest/LustreGuide/copying-backups-same-account.html)。

## 【FSx.3] FSx for OpenZFS 檔案系統應設定為異地同步備份部署
<a name="fsx-3"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::FSx::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-openzfs-deployment-type-check.html)

**排程類型：**定期

**參數：** `deploymentTypes: MULTI_AZ_1` （不可自訂）

此控制項會檢查 Amazon FSx for OpenZFS 檔案系統是否設定為使用多個可用區域 （多可用區域） 部署類型。如果未將檔案系統設定為使用異地同步備份部署類型，則控制項會失敗。

Amazon FSx for OpenZFS 支援多種檔案系統的部署類型：*異地同步備份 (HA)*、*單一可用區 (HA)* 和*單一可用區 （非 HA)*。部署類型提供不同層級的可用性和耐久性。多可用區域 (HA) 檔案系統是由跨兩個可用區域 (AZs) 分佈的高可用性 (HA) 對檔案伺服器組成。由於多可用區域 (HA) 部署類型提供的高可用性和耐久性模型，因此我們建議對大多數生產工作負載使用 。

### 修補
<a name="fsx-3-remediation"></a>

您可以設定 Amazon FSx for OpenZFS 檔案系統，以在建立檔案系統時使用異地同步備份部署類型。您無法變更現有 FSx for OpenZFS 檔案系統的部署類型。

如需有關 FSx for OpenZFS 檔案系統的部署類型和選項的資訊，請參閱《[Amazon FSx for OpenZFS 使用者指南》中的 Amazon FSx for OpenZFS 和管理檔案系統資源的可用性和耐用性](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/availability-durability.html)。 [https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html) * FSx OpenZFS *

## 【FSx.4] FSx for NetApp ONTAP 檔案系統應設定為異地同步備份部署
<a name="fsx-4"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::FSx::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-ontap-deployment-type-check.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `deploymentTypes`  |  要包含在評估中的部署類型清單。如果檔案系統未設定為使用清單中指定的部署類型，則控制項會產生`FAILED`問題清單。  |  列舉  |  `MULTI_AZ_1`, `MULTI_AZ_2`  |  `MULTI_AZ_1`, `MULTI_AZ_2`  | 

此控制項會檢查 Amazon FSx for NetApp ONTAP 檔案系統是否設定為使用多個可用區域 （多可用區域） 部署類型。如果未將檔案系統設定為使用異地同步備份部署類型，則控制項會失敗。您可以選擇性地指定要在評估中包含的部署類型清單。

Amazon FSx for NetApp ONTAP 支援多種檔案系統的部署類型：*單一可用區 1*、*單一可用區 2*、*多可用區 1* 和*多可用區 2*。部署類型提供不同層級的可用性和耐久性。由於多可用區域部署類型提供的高可用性和耐久性模型，我們建議對大多數生產工作負載使用異地同步備份部署類型。多可用區域檔案系統支援單一可用區域檔案系統的所有可用性和耐久性功能。此外，它們旨在提供資料的持續可用性，即使可用區域 (AZ) 無法使用也一樣。

### 修補
<a name="fsx-4-remediation"></a>

您無法變更現有 Amazon FSx for NetApp ONTAP 檔案系統的部署類型。不過，您可以備份資料，然後在使用異地同步備份部署類型的新檔案系統上還原資料。

如需有關 FSx for ONTAP 檔案系統的部署類型和選項的資訊，請參閱《*FSx for ONTAP 使用者指南*》中的[可用性、耐用性和部署選項](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/high-availability-AZ.html)以及[管理檔案系統](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-file-systems.html)。

## 【FSx.5] FSx for Windows File Server 檔案系統應設定為異地同步備份部署
<a name="fsx-5"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::FSx::FileSystem`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html](https://docs.aws.amazon.com/config/latest/developerguide/fsx-windows-deployment-type-check.html)

**排程類型：**定期

**參數：** `deploymentTypes: MULTI_AZ_1` （不可自訂）

此控制項會檢查 Amazon FSx for Windows File Server 檔案系統是否設定為使用多個可用區域 （多可用區域） 部署類型。如果未將檔案系統設定為使用異地同步備份部署類型，則控制項會失敗。

Amazon FSx for Windows File Server 支援兩種檔案系統的部署類型：*單一可用區*和*多可用區*。部署類型提供不同層級的可用性和耐久性。單一可用區域檔案系統由單一 Windows 檔案伺服器執行個體和單一可用區域 (AZ) 內的一組儲存磁碟區組成。多可用區域檔案系統是由分散在兩個可用區域的 Windows 檔案伺服器的高可用性叢集組成。由於提供的高可用性和耐久性模型，我們建議對大多數生產工作負載使用異地同步備份部署類型。

### 修補
<a name="fsx-5-remediation"></a>

您可以設定 Amazon FSx for Windows File Server 檔案系統，以在建立檔案系統時使用異地同步備份部署類型。您無法變更現有 FSx for Windows File Server 檔案系統的部署類型。

如需 FSx for Windows File Server 檔案系統的部署類型和選項的相關資訊，請參閱《[Amazon FSx for Windows File Server 使用者指南](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html)》中的[可用性和耐用性：單一可用區域和多可用區域檔案系統和](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/high-availability-multiAZ.html) Amazon FSx for Windows File Server 入門。 * FSx * 

# Global Accelerator 的 Security Hub CSPM 控制項
<a name="globalaccelerator-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Global Accelerator 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【GlobalAccelerator.1] 應標記 Global Accelerator 加速器
<a name="globalaccelerator-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::GlobalAccelerator::Accelerator`

**AWS Config rule：**`tagged-globalaccelerator-accelerator`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Global Accelerator 加速器是否具有具有參數 中定義之特定索引鍵的標籤`requiredTagKeys`。如果加速器沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果加速器未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="globalaccelerator-1-remediation"></a>

若要將標籤新增至 Global Accelerator 全域加速器，請參閱《 *AWS Global Accelerator 開發人員指南*》中的[在 中標記 AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/tagging-in-global-accelerator.html)。

# 的 Security Hub CSPM 控制項 AWS Glue
<a name="glue-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Glue 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Glue.1】 AWS Glue 工作應加上標籤
<a name="glue-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Glue::Job`

**AWS Config rule：**`tagged-glue-job`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Glue 任務是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果任務沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果任務未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="glue-1-remediation"></a>

若要將標籤新增至 AWS Glue 任務，請參閱*AWS Glue 《 使用者指南*》[AWS 中的標籤 AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html)。

## 【Glue.3】 AWS Glue 機器學習轉換應該靜態加密
<a name="glue-3"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::Glue::MLTransform`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)

**排程類型：**已觸發變更

**參數：**否

此控制項會檢查 AWS Glue 機器學習轉換是否靜態加密。如果機器學習轉換未靜態加密，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="glue-3-remediation"></a>

若要設定 AWS Glue 機器學習轉換的加密，請參閱*AWS Glue 《 使用者指南*》中的[使用機器學習轉換](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html)。

## 【Glue.4】 AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue
<a name="glue-4"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::Glue::Job`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)

**排程類型：**已觸發變更

**參數：**`minimumSupportedGlueVersion`： `3.0`（不可自訂）

此控制項會檢查 AWS Glue for Spark 任務是否設定為在支援的 版本上執行 AWS Glue。如果 Spark 任務設定為在早於最低支援版本的 上執行 AWS Glue ，則控制項會失敗。

**注意**  
如果任務的組態項目 (CI) 中不存在 AWS Glue 版本 (`GlueVersion`) 屬性或為 null，則此控制項也會為 AWS Glue for Spark 任務產生`FAILED`問題清單。在這種情況下，問題清單包含下列註釋：`GlueVersion is null or missing in glueetl job configuration`。若要解決這類`FAILED`問題清單，請將 `GlueVersion` 屬性新增至任務的組態。如需支援版本和執行時間環境的清單，請參閱*AWS Glue 《 使用者指南*》中的[AWS Glue 版本](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions)。

在目前版本的 上執行 AWS Glue Spark 任務 AWS Glue ，可以最佳化效能、安全性和對 最新功能的存取 AWS Glue。它也可以協助防範安全漏洞。例如，可能會發佈新版本，以提供安全性更新、解決問題或引進新功能。

### 修補
<a name="glue-4-remediation"></a>

如需將 Spark 任務遷移至支援版本的相關資訊 AWS Glue，請參閱*AWS Glue 《 使用者指南*》中的[遷移 AWS Glue Spark 任務](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html)。

# Amazon GuardDuty 的 Security Hub CSPM 控制項
<a name="guardduty-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon GuardDuty 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【GuardDuty.1] 應啟用 GuardDuty
<a name="guardduty-1"></a>

**相關要求：** NIST.800-53.r5 AC-2(12)， NIST.800-53.r5 AU-6(1)， NIST.800-53.r5 AU-6(5)， NIST.800-53.r5 CA-7、 NIST.800-53.r5 CM-8(3)， NIST.800-53.r5 RA-3(4)， NIST.800-53.r5 SA-11(1)， NIST.800-53.r5 SA-11(6)， NIST.800-53.r5 SA-15(2)， NIST.800-53.r5 SA-15(8)， NIST.800-53.r5 SA-8(19)， NIST.800-53.r5 SA-8(21)， NIST.800-53.r5 SA-8(25)， NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5(1)， NIST.800-53.r5 SC-5(3)， NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8)， NIST.800-53.r5 SI-4、 NIST.800-53.r5 SI-4(1)， NIST.800-53.r5 SI-4(13)， NIST.800-53.r5 SI-4(2)， NIST.800-53.r5 SI-4(22)， NIST.800-53.r5 SI-4(25)， NIST.800-53.r5 SI-4(4)， NIST.800-53.r5 SI-4(5)， NIST.800-171.r2 3.4.2、 NIST.800-171.r2 3.14.6， NIST.800-171.r2 3.14.7、 PCI DSS 3.2.1/11.4 版， PCI DSS 4.0.1/11.5.1 版

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)

**排程類型：**定期

**參數：**無

此控制項會檢查您的 Amazon GuardDuty帳戶和區域中是否已啟用 Amazon GuardDuty。

強烈建議您在所有支援的區域中啟用 GuardDuty AWS 。這樣做可讓 GuardDuty 產生有關未經授權或異常活動的調查結果，即使在您未主動使用的區域中也是如此。這也允許 GuardDuty 監控全域 AWS 服務 的 CloudTrail 事件，例如 IAM。

### 修補
<a name="guardduty-1-remediation"></a>

若要啟用 GuardDuty，請參閱《Amazon [GuardDuty 使用者指南](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)》中的 GuardDuty 入門。 *Amazon GuardDuty *

## 【GuardDuty.2] GuardDuty 篩選條件應加上標籤
<a name="guardduty-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::GuardDuty::Filter`

**AWS Config rule：**`tagged-guardduty-filter`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon GuardDuty 篩選條件是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果篩選條件沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果篩選條件未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="guardduty-2-remediation"></a>

若要將標籤新增至 GuardDuty 篩選條件，請參閱《*Amazon GuardDuty API 參考*[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)》中的 。

## 【GuardDuty.3] GuardDuty IPSets 應加上標籤
<a name="guardduty-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::GuardDuty::IPSet`

**AWS Config rule：**`tagged-guardduty-ipset`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon GuardDuty IPSet 是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 IPSet 沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果 IPSet 未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="guardduty-3-remediation"></a>

若要將標籤新增至 GuardDuty IPSet，請參閱《*Amazon GuardDuty API 參考*[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)》中的 。

## 【GuardDuty.4] GuardDuty 偵測器應加上標籤
<a name="guardduty-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config rule：**`tagged-guardduty-detector`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon GuardDuty 偵測器是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果偵測器沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果偵測器未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="guardduty-4-remediation"></a>

若要將標籤新增至 GuardDuty 偵測器，請參閱《*Amazon GuardDuty API 參考*[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)》中的 。

## 【GuardDuty.5] 應啟用 GuardDuty EKS 稽核日誌監控
<a name="guardduty-5"></a>

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否啟用 GuardDuty EKS 稽核日誌監控。對於獨立帳戶，如果帳戶中停用 GuardDuty EKS 稽核日誌監控，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 EKS 稽核日誌監控，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 EKS 稽核日誌監控功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty EKS 稽核日誌監控的暫停成員帳戶，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。

GuardDuty EKS 稽核日誌監控可協助您偵測 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集中的潛在可疑活動。EKS 稽核日誌監控使用 Kubernetes 稽核日誌，從使用者、使用 Kubernetes API 的應用程式和控制平面，擷取依時間順序排列的活動。

### 修補
<a name="guardduty-5-remediation"></a>

若要啟用 GuardDuty EKS 稽核日誌監控，請參閱《*Amazon GuardDuty 使用者指南*》中的 [EKS 稽核日誌監控](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html)。

## 【GuardDuty.6] 應啟用 GuardDuty Lambda 保護
<a name="guardduty-6"></a>

**相關要求：**PCI DSS v4.0.1/11.5.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 GuardDuty Lambda 保護。對於獨立帳戶，如果在帳戶中停用 GuardDuty Lambda 保護，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 Lambda 保護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty Lambda 保護的暫停成員帳戶，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。

GuardDuty Lambda 保護可協助您在叫用 AWS Lambda 函數時識別潛在的安全威脅。啟用 Lambda 保護之後，GuardDuty 會開始監控與 中 Lambda 函數相關聯的 Lambda 網路活動日誌 AWS 帳戶。當叫用 Lambda 函數且 GuardDuty 識別可疑的網路流量，指出 Lambda 函數中存在潛在惡意的程式碼片段時，GuardDuty 會產生問題清單。

### 修補
<a name="guardduty-6-remediation"></a>

若要啟用 GuardDuty Lambda 保護，請參閱《*Amazon GuardDuty 使用者指南*》中的[設定 Lambda 保護](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html)。

## 【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控
<a name="guardduty-7"></a>

**相關要求：**PCI DSS v4.0.1/11.5.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用具有自動代理程式管理的 GuardDuty EKS 執行期監控。對於獨立帳戶，如果在帳戶中停用具有自動代理程式管理的 GuardDuty EKS 執行期監控，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用自動代理程式管理的 EKS 執行期監控，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能為組織中的成員帳戶啟用或停用具有自動代理程式管理的 EKS 執行期監控功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty EKS 執行期監控的暫停成員帳戶，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。

Amazon GuardDuty 中的 EKS 保護提供威脅偵測涵蓋範圍，有助於保護 AWS 環境中的 Amazon EKS 叢集。EKS 執行期監控使用作業系統層級事件，協助您偵測 EKS 叢集內 EKS 節點和容器中的潛在威脅。

### 修補
<a name="guardduty-7-remediation"></a>

若要使用自動代理程式管理啟用 EKS 執行期監控，請參閱《Amazon [GuardDuty 使用者指南》中的啟用 GuardDuty 執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。 *Amazon GuardDuty *

## 【GuardDuty.8] 應啟用 EC2 的 GuardDuty 惡意軟體防護
<a name="guardduty-8"></a>

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否啟用 GuardDuty 惡意軟體防護。對於獨立帳戶，如果帳戶中停用 GuardDuty 惡意軟體防護，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用惡意軟體防護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員可以啟用或停用組織中成員帳戶的惡意軟體防護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty 惡意軟體防護的暫停成員帳戶，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。

GuardDuty Malware Protection for EC2 透過掃描連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載的 Amazon Elastic Block Store (Amazon EBS) 磁碟區，協助您偵測潛在的惡意軟體存在。惡意軟體防護提供掃描選項，您可以在掃描時決定是否要包含或排除特定 EC2 執行個體和容器工作負載。它還提供在 GuardDuty 帳戶中保留連接到 EC2 執行個體或容器工作負載之 EBS 磁碟區的快照的選項。只有在發現惡意軟體並產生惡意軟體防護調查結果時，才會保留快照。

### 修補
<a name="guardduty-8-remediation"></a>

若要啟用 EC2 的 GuardDuty 惡意軟體防護，請參閱《Amazon [GuardDuty 使用者指南》中的設定 GuardDuty 起始的惡意軟體掃描](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html)。 *Amazon GuardDuty *

## 【GuardDuty.9] 應啟用 GuardDuty RDS 保護
<a name="guardduty-9"></a>

**相關要求：**PCI DSS v4.0.1/11.5.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 GuardDuty RDS 保護。對於獨立帳戶，如果在帳戶中停用 GuardDuty RDS 保護，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 RDS 保護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 RDS 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty RDS 保護的暫停成員帳戶，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。

GuardDuty 中的 RDS 保護會分析和分析 RDS 登入活動，以找出對 Amazon Aurora 資料庫的潛在存取威脅 (Aurora MySQL 相容版本和 Aurora PostgreSQL 相容版本）。此功能可讓您識別潛在的可疑登入行為。RDS 保護不需要額外的基礎設施；專門為不影響資料庫執行個體的效能而設計。當 RDS 保護偵測到潛在的可疑或異常登入嘗試 (這表明資料庫存在安全威脅) 時，GuardDuty 會產生新的調查結果，其中包含可能被盜用之資料庫的詳細資訊。

### 修補
<a name="guardduty-9-remediation"></a>

若要啟用 GuardDuty RDS 保護，請參閱《Amazon [GuardDuty 使用者指南》中的 GuardDuty RDS 保護](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html)。 *Amazon GuardDuty *

## 【GuardDuty.10] 應啟用 GuardDuty S3 保護
<a name="guardduty-10"></a>

**相關要求：**PCI DSS v4.0.1/11.5.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 GuardDuty S3 保護。對於獨立帳戶，如果在帳戶中停用 GuardDuty S3 保護，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 S3 保護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 S3 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty S3 保護的暫停成員帳戶，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。

S3 保護可讓 GuardDuty 監控物件層級 API 操作，以識別 Amazon Simple Storage Service (Amazon S3) 儲存貯體中資料的潛在安全風險。GuardDuty 透過分析 AWS CloudTrail 管理事件和 CloudTrail S3 資料事件來監控對 S3 資源的威脅。 S3 

### 修補
<a name="guardduty-10-remediation"></a>

若要啟用 GuardDuty S3 保護，請參閱《[Amazon S3 Amazon GuardDuty使用者指南》中的 Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)*Amazon GuardDuty *S3 保護。

## 【GuardDuty.11] 應啟用 GuardDuty 執行期監控
<a name="guardduty-11"></a>

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否在 Amazon GuardDuty 中啟用執行期監控。對於獨立帳戶，如果帳戶停用 GuardDuty 執行期監控，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶停用 GuardDuty 執行期監控，則控制項會失敗。

在多帳戶環境中，只有委派的 GuardDuty 管理員可以啟用或停用組織中帳戶的 GuardDuty 執行期監控。此外，只有 GuardDuty 管理員可以設定和管理 GuardDuty 用來監控組織中帳戶 AWS 工作負載和資源的執行時間的安全代理程式。GuardDuty 成員帳戶無法為自己的帳戶啟用、設定或停用執行期監控。

GuardDuty 執行期監控會觀察和分析作業系統層級、聯網和檔案事件，以協助您偵測環境中特定 AWS 工作負載的潛在威脅。它使用 GuardDuty 安全代理程式來增加執行時間行為的可見性，例如檔案存取、程序執行、命令列引數和網路連線。您可以為要監控潛在威脅的每種資源類型啟用和管理安全代理程式，例如 Amazon EKS 叢集和 Amazon EC2 執行個體。

### 修補
<a name="guardduty-11-remediation"></a>

如需有關設定和啟用 GuardDuty 執行期監控的資訊，請參閱《Amazon [GuardDuty 使用者指南》中的 GuardDuty 執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)和[啟用 GuardDuty 執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。 *Amazon GuardDuty *

## 【GuardDuty.12] 應啟用 GuardDuty ECS 執行期監控
<a name="guardduty-12"></a>

**類別：**偵測 > 偵測服務

**嚴重性：**中

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon GuardDuty 自動化安全代理程式，以監控 Amazon ECS 叢集的執行時間 AWS Fargate。對於獨立帳戶，如果停用帳戶的安全代理程式，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶停用安全代理程式，則控制項會失敗。

在多帳戶環境中，此控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。這是因為只有委派的 GuardDuty 管理員可以啟用或停用組織中帳戶的 ECS-Fargate 資源執行期監控。GuardDuty 成員帳戶無法對自己的帳戶執行此操作。此外，如果成員帳戶的 GuardDuty 暫停，且成員帳戶的 ECS-Fargate 資源的執行期監控已停用，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`調查結果，GuardDuty 管理員必須使用 GuardDuty 取消暫停的成員帳戶與其管理員帳戶的關聯。

GuardDuty 執行期監控會觀察和分析作業系統層級、聯網和檔案事件，以協助您偵測環境中特定 AWS 工作負載的潛在威脅。它使用 GuardDuty 安全代理程式來增加執行時間行為的可見性，例如檔案存取、程序執行、命令列引數和網路連線。您可以為要監控潛在威脅的每種資源類型啟用和管理安全代理程式。這包括 上的 Amazon ECS 叢集 AWS Fargate。

### 修補
<a name="guardduty-12-remediation"></a>

若要啟用和管理 ECS-Fargate 資源的 GuardDuty 執行期監控的安全代理程式，您必須直接使用 GuardDuty。您無法為 ECS-Fargate 資源啟用或手動管理它。如需有關啟用和管理安全代理程式的資訊，請參閱《[Amazon GuardDuty 使用者指南》中的 AWS Fargate （僅限 Amazon ECS) 支援和管理 （僅限 Amazon ECS) 的自動化安全代理程式的先決條件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)。 [AWS Fargate](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) *Amazon GuardDuty *

## 【GuardDuty.13] 應啟用 GuardDuty EC2 執行期監控
<a name="guardduty-13"></a>

**類別：**偵測 > 偵測服務

**嚴重性：**中

**資源類型：** `AWS::GuardDuty::Detector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon GuardDuty 自動化安全代理程式是否已啟用 Amazon EC2 執行個體的執行期監控。對於獨立帳戶，如果停用帳戶的安全代理程式，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶停用安全代理程式，則控制項會失敗。

在多帳戶環境中，此控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。這是因為只有委派的 GuardDuty 管理員可以為組織中的帳戶啟用或停用 Amazon EC2 執行個體的執行期監控。GuardDuty 成員帳戶無法對自己的帳戶執行此操作。此外，如果成員帳戶的 GuardDuty 暫停，且成員帳戶的 EC2 執行個體執行期監控已停用，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`調查結果，GuardDuty 管理員必須使用 GuardDuty 取消暫停的成員帳戶與其管理員帳戶的關聯。

GuardDuty 執行期監控會觀察和分析作業系統層級、聯網和檔案事件，以協助您偵測環境中特定 AWS 工作負載的潛在威脅。它使用 GuardDuty 安全代理程式來增加執行時間行為的可見性，例如檔案存取、程序執行、命令列引數和網路連線。您可以為要監控潛在威脅的每種資源類型啟用和管理安全代理程式。這包括 Amazon EC2 執行個體。

### 修補
<a name="guardduty-13-remediation"></a>

如需為 EC2 執行個體的 GuardDuty 執行期監控設定和管理自動化安全代理程式的相關資訊，請參閱《Amazon GuardDuty 使用者指南》中的 [Amazon EC2 執行個體支援和啟用 Amazon EC2 執行個體的自動化安全代理程式的先決條件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)。 [ Amazon EC2 ](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html) *Amazon GuardDuty *

# 的 Security Hub CSPM 控制項 AWS Identity and Access Management
<a name="iam-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Identity and Access Management (IAM) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限
<a name="iam-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.22、CIS AWS Foundations Benchmark v1.4.0/1.16、NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6800-55.r5)、NIST-50.5)、NIST-50.50 NIST.800-53.r5 AC-6.

**類別：**保護 > 安全存取管理

**嚴重性：**高

**資源類型：** `AWS::IAM::Policy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html)

**排程類型：**已觸發變更

**參數：**
+ `excludePermissionBoundaryPolicy: true` （不可自訂）

此控制項會檢查預設版本的 IAM 政策 （也稱為客戶受管政策） 是否具有管理員存取權，方法是使用 `"Effect": "Allow"`搭配 `"Action": "*"` 的 陳述式`"Resource": "*"`。如果您有具有此類陳述式的 IAM 政策，則控制項會失敗。

控制項只會檢查您建立的客戶受管政策。它不會檢查內嵌和 AWS 受管政策。

IAM 政策定義一組授予使用者、群組或角色的權限。遵循標準安全建議， AWS 建議您授予最低權限，這表示僅授予執行任務所需的許可。在您提供完整管理權限而非使用者需要的最低許可組時，您便會向潛在的不需要動作公開資源。

相較於允許完整的管理權限，建議您決定使用者需要做什麼，然後打造政策，讓使用者只執行這些任務。以最小的一組許可開始，然後依需要授予額外的許可更加安全。不要從太寬鬆的許可開始，稍後才嘗試限縮這些許可。

您應該移除具有 陳述式的 IAM 政策，該陳述`"Effect": "Allow" `式具有`"Action": "*"`超過 的 `"Resource": "*"`。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-1-remediation"></a>

若要修改您的 IAM 政策，使其不允許完整的「\$1」管理權限，請參閱《[IAM 使用者指南》中的編輯 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。 **

## 【IAM.2】 IAM 使用者不應連接 IAM 政策
<a name="iam-2"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.14、CIS AWS Foundations Benchmark v3.0.0/1.15、CIS AWS Foundations Benchmark v1.2.0/1.16、NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-66(3)、NIST.8000-17.r2

**類別：**保護 > 安全存取管理

**嚴重性：**低

**資源類型：** `AWS::IAM::User`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查您的 IAM 使用者是否已連接政策。如果您的 IAM 使用者已連接政策，則控制項會失敗。相反地，IAM 使用者必須繼承 IAM 群組的許可或擔任角色。

根據預設，IAM 使用者、群組和角色無法存取 AWS 資源。IAM 政策會將權限授予使用者、群組或角色。我們建議您將 IAM 政策直接套用至群組和角色，而不是使用者。在群組或角色層級指派權限，會減少隨使用者數量成長而增加的存取管理複雜性。降低存取管理複雜性，可能會降低無意中讓委託人接收或保留過多權限的機會。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，您可以在記錄全域資源的區域以外的所有區域中停用此控制項。

### 修補
<a name="iam-2-remediation"></a>

若要解決此問題，[請建立 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html)，並將政策連接至群組。然後，[將使用者新增至群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html)。政策即會套用到群組中的每個使用者。若要移除直接連接到使用者的政策，請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **

## 【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次
<a name="iam-3"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.13、CIS AWS Foundations Benchmark v3.0.0/1.14、CIS AWS Foundations Benchmark v1.4.0/1.14、CIS AWS Foundations Benchmark v1.2.0/1.4、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-2(3)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.6.3

**類別：**保護 > 安全存取管理

**嚴重性：**中 

**資源類型：** `AWS::IAM::User`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)

**排程類型：**定期

**參數：**
+ `maxAccessKeyAge`：`90`（不可自訂）

此控制項會檢查作用中的存取金鑰是否會在 90 天內輪換。

我們強烈建議您不要產生和移除帳戶中的所有存取金鑰。反之，建議的最佳實務是建立一或多個 IAM 角色或使用[聯合](https://aws.amazon.com/identity/federation/) AWS IAM Identity Center。您可以使用這些方法來允許使用者存取 AWS 管理主控台 和 AWS CLI。

每種方法都有其使用案例。對於具有現有中央目錄或計劃需要超過 IAM 使用者目前限制的企業而言，聯合通常更好。在 AWS 環境外部執行的應用程式需要存取金鑰，才能以程式設計方式存取 AWS 資源。

不過，如果需要程式設計存取的資源在內部執行 AWS，最佳實務是使用 IAM 角色。角色可讓您授予資源存取，而無須在組態中硬式編碼存取金鑰 ID 和私密存取金鑰。

若要進一步了解如何保護您的存取金鑰和帳戶，請參閱《》中的[管理 AWS 存取金鑰的最佳實務](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)*AWS 一般參考*。另請參閱部落格文章 [在使用程式設計存取 AWS 帳戶 時保護 的指導方針](https://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/)。

如果您已有存取金鑰，Security Hub CSPM 建議您每 90 天輪換存取金鑰。輪換存取金鑰可降低使用與被盜用或已終止帳戶相關聯存取金鑰的機會。這也能確保無法使用可能遺失、毀損或遭竊的舊金鑰存取資料。請在您輪換存取金鑰後一律更新應用程式。

存取金鑰由存取金鑰 ID 和私密存取金鑰組成。它們用於簽署您提出的程式設計請求 AWS。使用者需要自己的存取金鑰，才能使用個別的 API 操作 AWS ，從 AWS CLI、Tools for Windows PowerShell、 AWS SDKs 或直接 HTTP 呼叫對 進行程式設計呼叫 AWS 服務。

如果您的組織使用 AWS IAM Identity Center (IAM Identity Center)，您的使用者可以登入 Active Directory、內建的 IAM Identity Center 目錄，或[連線至 IAM Identity Center 的其他身分提供者 (IdP)](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。然後，它們可以映射到 IAM 角色，使他們能夠執行 AWS CLI 命令或呼叫 AWS API 操作，而無需存取金鑰。若要進一步了解，請參閱*AWS Command Line Interface 《 使用者指南*》中的[設定 AWS CLI 以使用 AWS IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) 。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-3-remediation"></a>

若要輪換超過 90 天的存取金鑰，請參閱《*IAM 使用者指南*》中的[輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)。對於**存取金鑰存**留期大於 90 天的任何使用者，請遵循指示。

## 【IAM.4】 IAM 根使用者存取金鑰不應存在
<a name="iam-4"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.3、CIS AWS Foundations Benchmark v3.0.0/1.4、CIS AWS Foundations Benchmark v1.4.0/1.4、CIS AWS Foundations Benchmark v1.2.0/1.12、PCI DSS v3.2.1/2.1、PCI DSS v3.2.1/2.2、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 

**類別：**保護 > 安全存取管理

**嚴重性：**嚴重 

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查根使用者存取金鑰是否存在。

根使用者是 中最高權限的使用者 AWS 帳戶。 AWS 存取金鑰提供對指定帳戶的程式設計存取。

Security Hub CSPM 建議您移除與根使用者相關聯的所有存取金鑰。這限制了可用於入侵您帳戶的向量。這也會鼓勵建立和使用擁有最低權限的角色類型帳戶。

### 修補
<a name="iam-4-remediation"></a>

若要刪除根使用者存取金鑰，請參閱《*IAM 使用者指南*》中的[刪除根使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_delete-key)。若要從 AWS 帳戶 中刪除根使用者存取金鑰 AWS GovCloud (US)，請參閱*AWS GovCloud (US) 《 使用者指南*》中的[刪除我的 AWS GovCloud (US) 帳戶根使用者存取金鑰](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-account-root-user.html#delete-govcloud-root-access-key)。

## [IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA
<a name="iam-5"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.9、CIS AWS Foundations Benchmark v3.0.0/1.10、CIS AWS Foundations Benchmark v1.4.0/1.10、CIS AWS Foundations Benchmark v1.2.0/1.2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800-53.r5 IA-2(2)、NIST.800-5.r5 IA-2(6)、NIST.800-5.r5)、PCI-IA-200.

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::IAM::User`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否針對使用主控台密碼的所有 IAM 使用者啟用 AWS 多重驗證 (MFA)。

Multi-Factor authentication (MFA) 在使用者名稱和密碼之外，多增加一層保護。啟用 MFA 後，當使用者登入 AWS 網站時，系統會提示他們輸入其使用者名稱和密碼。此外，系統會提示他們從 AWS MFA 裝置輸入驗證碼。

我們建議您為擁有主控台密碼的所有帳戶啟用 MFA。MFA 的設計旨在為主控台存取提供更高的安全。身分驗證委託人必須擁有發出時效性金鑰的裝置，並且必須擁有登入資料的知識。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-5-remediation"></a>

若要為 IAM 使用者新增 MFA，請參閱《*IAM 使用者指南*》中的[在 中使用多重要素驗證 (MFA) AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。

## [IAM.6] 應為根使用者啟用硬體 MFA
<a name="iam-6"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.5、CIS AWS Foundations Benchmark v3.0.0/1.6、CIS AWS Foundations Benchmark v1.4.0/1.6、CIS AWS Foundations Benchmark v1.2.0/1.14、PCI DSS v3.2.1/8.3.1、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800-53.r5 IA-22(2)、NIST.8000-5. IA-2

**類別：**保護 > 安全存取管理

**嚴重性：**嚴重

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查您的 AWS 帳戶 是否已啟用使用硬體多重要素驗證 (MFA) 裝置，以根使用者憑證登入。如果未啟用硬體 MFA 或允許使用根使用者登入資料登入虛擬 MFA 裝置，則控制項會失敗。

虛擬 MFA 可能無法提供與硬體 MFA 裝置相同層級的安全。建議您只在等待硬體購買核准或硬體送達時使用虛擬 MFA 裝置。若要進一步了解，請參閱《*IAM 使用者指南*》中的[指派虛擬 MFA 裝置 （主控台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html)。

**注意**  
Security Hub CSPM 會根據 中根使用者憑證 （登入設定檔） 的存在來評估此控制項 AWS 帳戶。在下列情況下，控制項會產生`PASSED`問題清單：  
根使用者登入資料存在於帳戶中，且已啟用根使用者的硬體 MFA。
根使用者憑證不存在於帳戶中。
如果根使用者登入資料存在於帳戶中，且根使用者未啟用硬體 MFA，則控制項會產生`FAILED`問題清單。

### 修補
<a name="iam-6-remediation"></a>

如需有關為根使用者啟用硬體 MFA 的資訊，請參閱《*IAM 使用者指南*》中的 [的多重要素驗證 AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)。

## 【IAM.7】 IAM 使用者的密碼政策應具有強大的組態
<a name="iam-7"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-2(3)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-5(1)、NIST.800-171.r2 3.5.2、NIST.800-171.r2 3.5.7、NIST.800-171.r2 3.5.8、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.3.7、PCI v4.0.98.3.10

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `RequireUppercaseCharacters`  |  密碼中至少需要一個大寫字元  |  Boolean  |  `true` 或 `false` \$1  |  `true`  | 
|  `RequireLowercaseCharacters`  |  密碼中至少需要一個小寫字元  |  Boolean  |  `true` 或 `false` \$1  |  `true`  | 
|  `RequireSymbols`  |  密碼中至少需要一個符號  |  Boolean  |  `true` 或 `false` \$1  |  `true`  | 
|  `RequireNumbers`  |  密碼中至少需要一個數字  |  Boolean  |  `true` 或 `false` \$1  |  `true`  | 
|  `MinimumPasswordLength`  |  密碼中的字元數下限  |  Integer  |  `8` 至 `128`  |  `8`  | 
|  `PasswordReusePrevention`  |  重複使用舊密碼之前的密碼輪換次數  |  Integer  |  `12` 至 `24`  |  無預設值  | 
|  `MaxPasswordAge`  |  密碼過期前的天數  |  Integer  |  `1` 至 `90`  |  無預設值  | 

此控制項會檢查 IAM 使用者的帳戶密碼政策是否使用強式組態。如果密碼政策不使用強式組態，則控制項會失敗。除非您提供自訂參數值，否則 Security Hub CSPM 會使用上表中提及的預設值。`PasswordReusePrevention` 和 `MaxPasswordAge` 參數沒有預設值，因此如果您排除這些參數，Security Hub CSPM 會在評估此控制項時忽略密碼輪換次數和密碼存留期。

若要存取 AWS 管理主控台，IAM 使用者需要密碼。最佳實務是，Security Hub CSPM 強烈建議您使用聯合，而不是建立 IAM 使用者。聯合允許使用者使用其現有的公司登入資料來登入 AWS 管理主控台。使用 AWS IAM Identity Center (IAM Identity Center) 建立或聯合使用者，然後在帳戶中擔任 IAM 角色。

若要進一步了解身分提供者和聯合身分，請參閱《*IAM 使用者指南*》中的[身分提供者和聯合身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。若要進一步了解 IAM Identity Center，請參閱 [https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

 如果您需要使用 IAM 使用者，Security Hub CSPM 建議您強制建立強式使用者密碼。您可以在 上設定密碼政策 AWS 帳戶 ，以指定密碼的複雜性要求和強制性輪換期間。當您建立或變更密碼政策時，會在下次使用者變更其密碼時強制執行大部分的密碼政策設定。某些設定會立即強制執行。

### 修補
<a name="iam-7-remediation"></a>

若要更新密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **

## 【IAM.8】 應移除未使用的 IAM 使用者登入資料
<a name="iam-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.3、NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-2(3)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-171.r2 3.1.2、PCI v3.2.1/8.1.4、PCI v4.02.1.6。

**類別：**保護 > 安全存取管理 

**嚴重性：**中 

**資源類型：** `AWS::IAM::User`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**排程類型：**定期

**參數：**
+ `maxCredentialUsageAge`：`90`（不可自訂）

此控制項會檢查您的 IAM 使用者是否有密碼或作用中的存取金鑰，而這些金鑰已在 90 天內未使用。

IAM 使用者可以使用不同類型的登入資料來存取 AWS 資源，例如密碼或存取金鑰。

Security Hub CSPM 建議您移除或停用所有未使用 90 天或更長時間的登入資料。停用或移除不必要的登入資料，可以減少使用與被盜用或放棄帳戶相關聯登入資料的機會。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-8-remediation"></a>

當您在 IAM 主控台中檢視使用者資訊時，有**存取金鑰存**留期、**密碼存留期**和**上次活動**的資料欄。如果上述任一欄的值大於 90 天，請將這些使用者的登入資料設定為非作用中。

您也可以使用[登入資料報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console)來監控使用者，並識別 90 天或更長時間內沒有活動的使用者。您可以從 IAM 主控台下載`.csv`格式的登入資料報告。

識別非作用中帳戶或未使用的登入資料後，請停用它們。如需說明，請參閱《[IAM 使用者指南》中的建立、變更或刪除 IAM 使用者密碼 （主控台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)。 **

## 【IAM.9】 應為根使用者啟用 MFA
<a name="iam-9"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.4、PCI DSS v3.2.1/8.3.1、PCI DSS v4.0.1/8.4.2、CIS AWS Foundations Benchmark v3.0.0/1.5、CIS AWS Foundations Benchmark v1.4.0/1.5、CIS AWS Foundations Benchmark v1.2.0/1.13、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800-5 IA-2 

**類別：**保護 > 安全存取管理 

**嚴重性：**嚴重

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用多重要素驗證 (MFA)， AWS 帳戶 讓 的 IAM 根使用者登入 AWS 管理主控台。如果未為帳戶的根使用者啟用 MFA，則控制項會失敗。

的 IAM 根使用者 AWS 帳戶 具有帳戶中所有 服務和資源的完整存取權。如果已啟用 MFA，使用者必須輸入其 AWS MFA 裝置的使用者名稱、密碼和驗證碼，才能登入 AWS 管理主控台。MFA 在使用者名稱和密碼之外多加一層保護。

此控制項會在下列情況下產生`PASSED`問題清單：
+ 根使用者憑證存在於帳戶中，並為根使用者啟用 MFA。
+ 根使用者憑證不存在於帳戶中。

如果根使用者憑證存在於帳戶中，且未為根使用者啟用 MFA，控制項會產生`FAILED`調查結果。

### 修補
<a name="iam-9-remediation"></a>

如需為 的根使用者啟用 MFA 的詳細資訊 AWS 帳戶，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [的多重要素驗證 AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)。

## 【IAM.10】 IAM 使用者的密碼政策應具有強大的組態
<a name="iam-10"></a>

**相關要求：**NIST.800-171.r2 3.5.2、NIST.800-171.r2 3.5.7、NIST.800-171.r2 3.5.8、PCI DSS v3.2.1/8.1.4、PCI DSS v3.2.1/8.2.3、PCI DSS v3.2.1/8.2.4、PCI DSS v3.2.1/8.2.5

**類別：**保護 > 安全存取管理 

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 IAM 使用者的帳戶密碼政策是否使用以下最低 PCI DSS 組態。
+ `RequireUppercaseCharacters` – 密碼中至少需要一個大寫字元。(預設 = `true`)
+ `RequireLowercaseCharacters` – 密碼中至少需要一個小寫字元。(預設 = `true`)
+ `RequireNumbers` – 密碼中至少需要一個數字。(預設 = `true`)
+ `MinimumPasswordLength` – 密碼長度下限。（預設值 = 7 或更久）
+ `PasswordReusePrevention` – 允許重複使用之前的密碼數目。（預設 = 4)
+ `MaxPasswordAge` – 密碼過期前的天數。（預設 = 90)

**注意**  
2025 年 5 月 30 日，Security Hub CSPM 將此控制項從 PCI DSS v4.0.1 標準中移除。PCI DSS v4.0.1 現在需要密碼至少 8 個字元。此控制會持續套用至具有不同密碼要求的 PCI DSS v3.2.1 標準。  
若要根據 PCI DSS v4.0.1 要求評估帳戶密碼政策，您可以使用 [IAM.7 控制項。](#iam-7)此控制項需要密碼至少 8 個字元。它也支援密碼長度和其他參數的自訂值。IAM.7 控制項是 Security Hub CSPM 中 PCI DSS v4.0.1 標準的一部分。

### 修補
<a name="iam-10-remediation"></a>

若要更新密碼政策以使用建議的組態，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **

## 【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母
<a name="iam-11"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.5、NIST.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3

**類別：**保護 > 安全存取管理 

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

密碼政策是強制執行密碼複雜性要求的一部分。使用 IAM 密碼政策來確保密碼使用不同的字元集。

CIS 建議密碼政策至少需要一個大寫字母。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

### 修補
<a name="iam-11-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **針對**密碼強度**，從**拉丁字母 (A–Z) 選取至少需要一個大寫字母**。

## 【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母
<a name="iam-12"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.6、NIST.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3

**類別：**保護 > 安全存取管理 

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

密碼政策是強制執行密碼複雜性要求的一部分。使用 IAM 密碼政策來確保密碼使用不同的字元集。CIS 建議密碼政策至少需要一個小寫字母。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

### 修補
<a name="iam-12-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **對於**密碼強度**，請從**拉丁字母 (A–Z) 選取至少需要一個小寫字母**。

## 【IAM.13】 確保 IAM 密碼政策至少需要一個符號
<a name="iam-13"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.7、NIST.800-171.r2 3.5.7

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

密碼政策是強制執行密碼複雜性要求的一部分。使用 IAM 密碼政策來確保密碼使用不同的字元集。

CIS 建議密碼政策至少需要一個符號。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

### 修補
<a name="iam-13-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **針對**密碼強度**，選取**至少需要一個非英數字元**。

## 【IAM.14】 確保 IAM 密碼政策至少需要一個數字
<a name="iam-14"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.8、NIST.800-171.r2 3.5.7、PCI DSS v4.0.1/8.3.6、PCI DSS v4.0.1/8.6.3

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

密碼政策是強制執行密碼複雜性要求的一部分。使用 IAM 密碼政策來確保密碼使用不同的字元集。

CIS 建議密碼政策至少需要一個數字。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

### 修補
<a name="iam-14-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **針對**密碼強度**，選取**至少需要一個數字**。

## 【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高
<a name="iam-15"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.7、CIS AWS Foundations Benchmark v3.0.0/1.8、CIS AWS Foundations Benchmark v1.4.0/1.8、CIS AWS Foundations Benchmark v1.2.0/1.9、NIST.800-171.r2 3.5.7

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

密碼政策是強制執行密碼複雜性要求的一部分。使用 IAM 密碼政策來確保密碼至少為指定長度。

CIS 建議密碼政策至少需要 14 個字元的密碼長度。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

### 修補
<a name="iam-15-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **針對**密碼長度下限**，輸入 **14**或較大的數字。

## 【IAM.16】 確保 IAM 密碼政策防止密碼重複使用
<a name="iam-16"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.8、CIS AWS Foundations Benchmark v3.0.0/1.9、CIS AWS Foundations Benchmark v1.4.0/1.9、CIS AWS Foundations Benchmark v1.2.0/1.10、NIST.800-171.r2 3.5.8、PCI DSS v4.0.1/8.3.7

**類別：**保護 > 安全存取管理

**嚴重性：**低

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

此控制項會檢查要記住的密碼數目是否設定為 24。如果值不是 24，則控制項會失敗。

IAM 密碼政策可防止相同使用者重複使用指定的密碼。

CIS 建議密碼政策防止密碼重複使用。防止重複使用密碼以提高帳戶彈性，因應暴力登入嘗試。

### 修補
<a name="iam-16-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **針對**防止密碼重複使用**，輸入 **24**。

## 【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼
<a name="iam-17"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.11、PCI DSS v4.0.1/8.3.9、PCI DSS v4.0.1/8.3.10.1

**類別：**保護 > 安全存取管理

**嚴重性：**低

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html)

**排程類型：**定期

**參數：**無

IAM 密碼政策可以要求密碼在特定天數後輪換或過期。

CIS 建議密碼政策在 90 天後過期密碼。縮短密碼生命週期以提高帳戶彈性，因應暴力登入嘗試。要求定期密碼變更，也有助於下列案例：
+ 在您不知情時，密碼遭竊或被盜用。這會透過系統入侵、軟體漏洞或內部威脅而發生。
+ 某些企業和政府的 web 篩選條件或代理伺服器可以攔截並記錄流量，即使流量加密。
+ 許多人在很多系統 (如工作、電子郵件和個人) 都使用相同的密碼。
+ 遭入侵的最終使用者工作站可能有按鍵記錄器。

### 修補
<a name="iam-17-remediation"></a>

若要變更密碼政策，請參閱《[IAM 使用者指南》中的為 IAM 使用者設定帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)。 **針對**開啟密碼過期**，輸入 **90**或較小的數字。

## 【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援
<a name="iam-18"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.16、CIS AWS Foundations Benchmark v3.0.0/1.17、CIS AWS Foundations Benchmark v1.4.0/1.17、CIS AWS Foundations Benchmark v1.2.0/1.20、NIST.800-171.r2 3.1.2、PCI DSS v4.0.1/12.10.3

**類別：**保護 > 安全存取管理

**嚴重性：**低

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)

**排程類型：**定期

**參數：**
+ `policyARN`：`arn:partition:iam::aws:policy/AWSSupportAccess`（不可自訂）
+ `policyUsageType`：`ANY`（不可自訂）

AWS 提供可用於事件通知和回應的支援中心，以及技術支援和客戶服務。

建立 IAM 角色，以允許授權使用者透過 AWS Support 管理事件。透過實作存取控制的最低權限，IAM 角色將需要適當的 IAM 政策，以允許支援中心存取，以便使用 管理事件 支援。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-18-remediation"></a>

若要修復此問題，請建立 角色，以允許授權使用者管理 支援 事件。

**建立用於 支援 存取的角色**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 IAM 導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 針對**角色類型**，選擇**另一個 AWS 帳戶**。

1. 針對**帳戶 ID**，輸入您要授予資源存取權之 AWS 帳戶 的 AWS 帳戶 ID。

   如果將擔任此角色的使用者或群組位在相同帳戶，則請輸入本機帳戶號碼。
**注意**  
指定帳戶的管理員可以授予許可給該帳戶中的任何 使用者來擔任此角色。若要執行此操作，管理員要將政策連接到授予 `sts:AssumeRole` 動作之許可的使用者或群組。在該政策中，資源必須是角色 ARN。

1. 選擇**下一步：許可**。

1. 搜尋受管政策 `AWSSupportAccess`。

1. 選取 `AWSSupportAccess` 受管政策的核取方塊。

1. 選擇下**一步：標籤**。

1. （選用） 若要將中繼資料新增至角色，請將標籤附加為索引鍵/值對。

   如需在 IAM 中使用標籤的詳細資訊，請參閱《[IAM 使用者指南》中的標記 IAM 使用者和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 **

1. 選擇下**一步：檢閱**。

1. 針對 **Role name (角色名稱)**，輸入您的角色名稱。

   角色名稱在您的 中必須是唯一的 AWS 帳戶。不區分大小寫。

1. (選用) 在 **Role description (角色說明)** 中，輸入新角色的說明。

1. 檢閱角色，然後選擇 **Create role (建立角色)**。

## 【IAM.19】 應為所有 IAM 使用者啟用 MFA
<a name="iam-19"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 IA-2(1)、NIST.800-53.r5 IA-2(2)、NIST.800-53.r5 IA-2(6)、NIST.800-53.r5 IA-2(8)、NIST.800-171.r2 3.8、NIST.800-171.r2 3.5.3、NIST.800-171.r2 3.5.4、NIST.800-17.5 

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::IAM::User`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 IAM 使用者是否已啟用多重要素驗證 (MFA)。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-19-remediation"></a>

若要為 IAM 使用者新增 MFA，請參閱《*IAM 使用者指南*》中的[在 中為使用者啟用 MFA 裝置 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable.html)。

## 【IAM.20】 避免使用根使用者
<a name="iam-20"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.1

**類別：**保護 > 安全存取管理

**嚴重性：**低

**資源類型：** `AWS::IAM::User`

**AWS Config rule：**`use-of-root-account-test`（自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS 帳戶 對根使用者的用量是否有限制。控制項會評估下列資源：
+ Amazon Simple Notification Service (Amazon SNS) 主題
+ AWS CloudTrail 線索
+ 與 CloudTrail 追蹤相關聯的指標篩選條件
+ 根據篩選條件的 Amazon CloudWatch 警示

如果下列一或多個陳述式為 true，則此檢查會產生`FAILED`問題清單：
+ 帳戶中不存在 CloudTrail 追蹤。
+ CloudTrail 追蹤已啟用，但未設定至少一個包含讀取和寫入管理事件的多區域追蹤。
+ CloudTrail 追蹤已啟用，但未與 CloudWatch Logs 日誌群組建立關聯。
+ 不會使用 Center for Internet Security (CIS) 指定的確切指標篩選條件。指定的指標篩選條件為 `'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'`。
+ 帳戶中不存在以指標篩選條件為基礎的 CloudWatch 警示。
+ 設定為傳送通知至相關聯 SNS 主題的 CloudWatch 警示不會根據警示條件觸發。
+ SNS 主題不符合[傳送訊息至 SNS 主題的限制](https://docs.aws.amazon.com/sns/latest/api/API_Publish.html)。
+ SNS 主題至少沒有一個訂閱者。

`NO_DATA` 如果下列一或多個陳述式為 true，則此檢查會導致控制狀態為 ：
+ 多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
+ 多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。

`WARNING` 如果下列一或多個陳述式為 true，則此檢查會導致控制狀態為 ：
+ 目前帳戶不擁有 CloudWatch 警示中參考的 SNS 主題。
+ 目前帳戶在叫用 SNS API 時無法存取 `ListSubscriptionsByTopic` SNS 主題。

**注意**  
我們建議您使用組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估的控制項，使用組織線索會導致 NO\$1DATA 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。

最佳實務是，只有在需要[執行帳戶和服務管理任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)時，才使用您的根使用者憑證。將 IAM 政策直接套用至群組和角色，而非使用者。如需設定管理員以供每日使用的指示，請參閱《[IAM 使用者指南》中的建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。 **

### 修補
<a name="iam-20-remediation"></a>

修復此問題的步驟包括設定 Amazon SNS 主題、CloudTrail 追蹤、指標篩選條件，以及指標篩選條件的警示。

**建立 Amazon SNS 主題**

1. 在 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home) 開啟 Amazon SNS 主控台。

1. 建立接收所有 CIS 警示的 Amazon SNS 主題。

   至少建立一個主題訂閱者。如需詳細資訊，請參閱《Amazon Simple Notification Service 開發人員指南》**中的 [Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。

接著，設定套用至所有區域的作用中 CloudTrail。若要執行此作業，請遵循 [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) 中的修補步驟。

記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以為該日誌群組建立指標篩選條件。

最後，建立指標篩選條件和警示。

**建立指標篩選條件和警示**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中，選擇 **Log groups** (日誌群組)。

1. 選取與您建立的 CloudTrail 追蹤相關聯的 CloudWatch Logs 日誌群組的核取方塊。 CloudTrail 

1. 在**動作**中，選擇**建立指標篩選條件**。

1. 在**定義模式**下，執行下列動作：

   1. 複製以下模式，然後將它貼入 **Filter Pattern (篩選條件模式)** 欄位。

      ```
      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
      ```

   1. 選擇**下一步**。

1. 在**指派指標**下，執行下列動作：

   1. 在**篩選條件名稱**中，輸入指標篩選條件的名稱。

   1. 針對**指標命名空間**，輸入 **LogMetrics**。

      如果您對所有 CIS 日誌指標篩選條件使用相同的命名空間，則所有 CIS 基準指標都會分組在一起。

   1. 針對**指標名稱**，輸入指標的名稱。記住指標的名稱。建立警示時，您將需要選取指標。

   1. 針對 **Metric value** (指標值)，輸入 **1**。

   1. 選擇**下一步**。

1. 在**檢閱和建立**下，驗證您為新指標篩選條件提供的資訊。然後，選擇**建立指標篩選條件**。

1. 在導覽窗格中，選擇**日誌群組**，然後選擇您在**指標篩選條件下建立的篩選條件**。

1. 選取篩選條件的核取方塊。選擇 **Create alarm** (建立警示)。

1. 在**指定指標和條件**下，執行下列動作：

   1. 在**條件**下，針對**閾值**選擇**靜態**。

   1. 針對**定義警示條件**，選擇**大於/等於**。

   1. 針對**定義閾值**，輸入 **1**。

   1. 選擇**下一步**。

1. 在**設定動作**下，執行下列動作：

   1. 在**警示狀態觸發**下，選擇**警示中**。

   1. 在 **Select an SNS topic (選取 SNS 主題)** 下，選擇 **Select an existing SNS topic (選取現有的 SNS 主題)**。

   1. 針對**傳送通知至** ，輸入您在先前程序中建立的 SNS 主題名稱。

   1. 選擇**下一步**。

1. 在**新增名稱和描述**下，輸入警示**的名稱**和**描述**，例如 **CIS-1.1-RootAccountUsage**。然後選擇**下一步**。

1. 在**預覽和建立**下，檢閱警示組態。然後選擇 **Create Alarm (建立警示)**。

## 【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作
<a name="iam-21"></a>

**相關需求：**NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)、NIST.800-53.r5 AC-6(3)、NIST.800-171.1.13.

**類別：**偵測 > 安全存取管理 

**嚴重性：**低

**資源類型：** `AWS::IAM::Policy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html)

**排程類型：**已觸發變更

**參數：**
+ `excludePermissionBoundaryPolicy`：`True`（不可自訂）

此控制項會檢查您建立的 IAM 身分型政策是否具有使用 \$1 萬用字元授予任何服務上所有動作許可的允許陳述式。如果任何政策陳述式包含 `"Effect": "Allow"`與 ，則控制項會失敗`"Action": "Service:*"`。

例如，政策中的下列陳述式會導致問題清單失敗。

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}
```

如果您`"Effect": "Allow"`搭配 使用 ，控制項也會失敗`"NotAction": "service:*"`。在這種情況下， `NotAction`元素會提供 中所有動作的存取權 AWS 服務，但 中指定的動作除外`NotAction`。

此控制僅適用於客戶受管 IAM 政策。它不適用於由 管理的 IAM 政策 AWS。

當您將許可指派給 時 AWS 服務，請務必在 IAM 政策中限制允許的 IAM 動作。您應該將 IAM 動作限制為僅需要的動作。這可協助您佈建最低權限許可。如果政策連接到可能不需要 許可的 IAM 主體，過度寬鬆的政策可能會導致權限提升。

在某些情況下，您可能想要允許具有類似字首的 IAM 動作，例如 `DescribeFlowLogs`和 `DescribeAvailabilityZones`。在這些授權情況下，您可以將尾碼的萬用字元新增至通用字首。例如 `ec2:Describe*`。

如果您使用字首 IAM 動作搭配尾碼萬用字元，則此控制項會通過。例如，政策中的下列陳述式會導致問題清單通過。

```
"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}
```

當您以這種方式將相關的 IAM 動作分組時，您也可以避免超過 IAM 政策大小限制。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-21-remediation"></a>

若要修復此問題，請更新您的 IAM 政策，使其不允許完整的「\$1」管理權限。如需如何編輯 IAM 政策的詳細資訊，請參閱《[IAM 使用者指南》中的編輯 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html)。 **

## 【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料
<a name="iam-22"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.11、CIS AWS Foundations Benchmark v3.0.0/1.12、CIS AWS Foundations Benchmark v1.4.0/1.12、NIST.800-171.r2 3.1.2

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::IAM::User`

**AWS Config 規則： **[https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查您的 IAM 使用者是否有密碼或作用中的存取金鑰，而這些金鑰已在 45 天或更長時間內未使用。若要這樣做，它會檢查 AWS Config 規則的 `maxCredentialUsageAge` 參數是否等於 45 個或更多。

使用者可以使用不同類型的登入資料來存取 AWS 資源，例如密碼或存取金鑰。

CIS 建議您移除或停用所有已使用 45 天或更長時間的登入資料。停用或移除不必要的登入資料，可以減少使用與被盜用或放棄帳戶相關聯登入資料的機會。

此控制項的 AWS Config 規則使用 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)和 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html) API 操作，只會每四小時更新一次。IAM 使用者變更最多可能需要四小時才能顯示此控制項。

**注意**  
AWS Config 應在您使用 Security Hub CSPM 的所有區域中啟用。不過，您可以在單一區域中啟用全域資源的記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

### 修補
<a name="iam-22-remediation"></a>

當您在 IAM 主控台中檢視使用者資訊時，有**存取金鑰存**留期、**密碼存留期**和**上次活動**的資料欄。如果任何資料欄中的值大於 45 天，請將這些使用者的登入資料設為非作用中。

您也可以使用[登入資料報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console)來監控使用者，並識別 45 天或更長時間內沒有活動的使用者。您可以從 IAM 主控台下載`.csv`格式的登入資料報告。

識別非作用中帳戶或未使用的登入資料後，請停用它們。如需說明，請參閱《[IAM 使用者指南》中的建立、變更或刪除 IAM 使用者密碼 （主控台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)。 **

## 【IAM.23】 IAM Access Analyzer 分析器應加上標籤
<a name="iam-23"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AccessAnalyzer::Analyzer`

**AWS Config rule：**`tagged-accessanalyzer-analyzer`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查由 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) 管理的分析器是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果分析器沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果分析器未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iam-23-remediation"></a>

若要將標籤新增至分析器，請參閱《*AWS IAM Access Analyzer API 參考*[https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_TagResource.html)》中的 。

## 【IAM.24】 IAM 角色應加上標籤
<a name="iam-24"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IAM::Role`

**AWS Config rule：**`tagged-iam-role`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Identity and Access Management (IAM) 角色是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果角色沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果角色未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iam-24-remediation"></a>

若要將標籤新增至 IAM 角色，請參閱《[IAM 使用者指南》中的標記 IAM 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 **

## 【IAM.25】 IAM 使用者應加上標籤
<a name="iam-25"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IAM::User`

**AWS Config rule：**`tagged-iam-user`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Identity and Access Management (IAM) 使用者是否具有含參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果使用者沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果使用者未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iam-25-remediation"></a>

若要將標籤新增至 IAM 使用者，請參閱《[IAM 使用者指南》中的標記 IAM 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 **

## 【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證
<a name="iam-26"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.18、CIS AWS Foundations Benchmark v3.0.0/1.19

**類別：**識別 > 合規

**嚴重性：**中

**資源類型：** `AWS::IAM::ServerCertificate`

**AWS Config 規則： **[https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-server-certificate-expiration-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查在 IAM 中管理的作用中 SSL/TLS 伺服器憑證是否已過期。如果未移除過期的 SSL/TLS 伺服器憑證，則控制項會失敗。

若要在 中啟用網站或應用程式的 HTTPS 連線 AWS，您需要 SSL/TLS 伺服器憑證。您可以使用 IAM 或 AWS Certificate Manager (ACM) 來存放和部署伺服器憑證。只有當您必須在 ACM 不支援的 中支援 HTTPS 連線時 AWS 區域 ，才能使用 IAM 做為憑證管理員。IAM 會安全地加密您的私有金鑰並將加密的版本儲存在 IAM SSL 憑證存放區中。IAM 支援在所有 區域中部署伺服器憑證，但您必須從外部供應商取得憑證以搭配 使用 AWS。您無法將 ACM 憑證上傳至 IAM。此外，您無法從 IAM 主控台管理憑證。移除過期的 SSL/TLS 憑證可避免將無效憑證意外部署到資源的風險，這可能會損害基礎應用程式或網站的可信度。

### 修補
<a name="iam-26-remediation"></a>

若要從 IAM 移除伺服器憑證，請參閱《[IAM 使用者指南》中的在 IAM 中管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。 **

## 【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策
<a name="iam-27"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.21、CIS AWS Foundations Benchmark v3.0.0/1.22

**類別：**保護 > 安全存取管理 > 安全 IAM 政策

**嚴重性：**中

**資源類型：**`AWS::IAM::Role`、`AWS::IAM::User`、 `AWS::IAM::Group`

**AWS Config 規則： **[https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-blacklisted-check.html)

**排程類型：**已觸發變更

**參數：**
+ "policyArns"： "arn：aws：iam：：aws：policy/AWSCloudShellFullAccess，arn：aws-cn：iam：：aws：policy/AWSCloudShellFullAccess， arn：aws-us-gov：iam：：aws：policy/AWSCloudShellFullAccess"

此控制項會檢查 IAM 身分 （使用者、角色或群組） 是否已`AWSCloudShellFullAccess`連接 AWS 受管政策。如果 IAM 身分已連接`AWSCloudShellFullAccess`政策，則控制項會失敗。

AWS CloudShell 提供執行 CLI 命令的便利方式 AWS 服務。 AWS 受管政策`AWSCloudShellFullAccess`提供 CloudShell 的完整存取權，允許使用者本機系統和 CloudShell 環境之間的檔案上傳和下載功能。在 CloudShell 環境中，使用者具有 sudo 許可，並且可以存取網際網路。因此，將此受管政策轉換為 IAM 身分，讓他們能夠安裝檔案傳輸軟體，並將資料從 CloudShell 移至外部網際網路伺服器。我們建議您遵循最低權限原則，並將較窄的許可連接至您的 IAM 身分。

### 修補
<a name="iam-27-remediation"></a>

若要從 IAM 身分分離`AWSCloudShellFullAccess`政策，請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **

## 【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器
<a name="iam-28"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/1.19、CIS AWS Foundations Benchmark v3.0.0/1.20

**類別：**偵測 > 偵測服務 > 特殊權限用量監控

**嚴重性：**高

**資源類型：** `AWS::AccessAnalyzer::Analyzer`

**AWS Config 規則： **[https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-external-access-analyzer-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS 帳戶 是否已啟用 IAM Access Analyzer 外部存取分析器。如果目前選取的帳戶未啟用外部存取分析器，則控制項會失敗 AWS 區域。

IAM Access Analyzer 外部存取分析器可協助識別與外部實體共用的資源，例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 IAM 角色。這可協助您避免意外存取資源和資料。IAM Access Analyzer 是區域性的，必須在每個區域中啟用。為了識別與外部主體共用的資源，存取分析器會使用邏輯推理來分析您 AWS 環境中以資源為基礎的政策。當您建立外部存取分析器時，您可以為整個組織或個別帳戶建立並啟用它。

**注意**  
如果帳戶是 中組織的一部分 AWS Organizations，則此控制項不會考慮將組織指定為信任區域的外部存取分析器，並在目前區域中為組織啟用。如果您的組織使用此類型的組態，請考慮停用組織中個別成員帳戶的此控制項。

### 修補
<a name="iam-28-remediation"></a>

如需有關在特定區域中啟用外部存取分析器的資訊，請參閱《[IAM 使用者指南》中的 IAM Access Analyzer 入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。 **您必須在要監控資源存取權的每個區域中啟用分析器。

# Amazon Inspector 的 Security Hub CSPM 控制項
<a name="inspector-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Inspector 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Inspector.1】 應啟用 Amazon Inspector EC2 掃描
<a name="inspector-1"></a>

**相關要求：**PCI DSS v4.0.1/11.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector EC2 掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector EC2 掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 EC2 掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 EC2 掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector EC2 掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector EC2 掃描會從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體擷取中繼資料，然後將此中繼資料與從安全建議收集的規則進行比較，以產生問題清單。Amazon Inspector 會掃描執行個體是否有套件漏洞和網路連線能力問題。如需有關支援的作業系統的資訊，包括哪些作業系統可以在不使用 SSM 代理程式的情況下掃描，請參閱[支援的作業系統：Amazon EC2 掃描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2)。

### 修補
<a name="inspector-1-remediation"></a>

若要啟用 Amazon Inspector EC2 掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## 【Inspector.2】 應啟用 Amazon Inspector ECR 掃描
<a name="inspector-2"></a>

**相關要求：**PCI DSS v4.0.1/11.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector ECR 掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector ECR 掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 ECR 掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 ECR 掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector ECR 掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector 會掃描存放在 Amazon Elastic Container Registry (Amazon ECR) 中的容器映像是否有軟體漏洞，以產生套件漏洞問題清單。當您啟用 Amazon ECR 的 Amazon Inspector 掃描時，您可以將 Amazon Inspector 設定為私有登錄檔的偏好掃描服務。這會取代 Amazon ECR 免費提供的基本掃描，以及透過 Amazon Inspector 提供和計費的增強型掃描。增強型掃描可讓您在登錄檔層級掃描作業系統和程式設計語言套件的漏洞。您可以在 Amazon ECR 主控台上檢閱影像層級使用增強型掃描對影像每一層發現的問題清單。此外，您可以在其他不適用於基本掃描問題清單的 服務中檢閱和使用這些問題清單，包括 AWS Security Hub CSPM 和 Amazon EventBridge。

### 修補
<a name="inspector-2-remediation"></a>

若要啟用 Amazon Inspector ECR 掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## 【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描
<a name="inspector-3"></a>

**相關要求：**PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector Lambda 程式碼掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector Lambda 程式碼掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 Lambda 程式碼掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 程式碼掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector Lambda 程式碼掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector Lambda 程式碼掃描會根據 AWS 安全最佳實務，掃描 AWS Lambda 函數中的自訂應用程式程式碼是否有程式碼漏洞。Lambda 程式碼掃描可以偵測程式碼中的注入缺陷、資料洩漏、弱式密碼編譯或缺少加密。此功能[AWS 區域 僅適用於特定](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability) 。您可以啟用 Lambda 程式碼掃描與 Lambda 標準掃描 （請參閱 [【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描](#inspector-4))。

### 修補
<a name="inspector-3-remediation"></a>

若要啟用 Amazon Inspector Lambda 程式碼掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## 【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描
<a name="inspector-4"></a>

**相關要求：**PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector Lambda 標準掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector Lambda 標準掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 Lambda 標準掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 標準掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector Lambda 標準掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector Lambda 標準掃描可識別您新增至 AWS Lambda 函數程式碼和層的應用程式套件相依性中的軟體漏洞。如果 Amazon Inspector 在您的 Lambda 函數應用程式套件相依性中偵測到漏洞，Amazon Inspector 會產生詳細的`Package Vulnerability`類型調查結果。您可以啟用 Lambda 程式碼掃描與 Lambda 標準掃描 （請參閱 [【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描](#inspector-3))。

### 修補
<a name="inspector-4-remediation"></a>

若要啟用 Amazon Inspector Lambda 標準掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

# 的 Security Hub CSPM 控制項 AWS IoT
<a name="iot-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS IoT 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IoT.1] AWS IoT Device Defender 安全設定檔應加上標籤
<a name="iot-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoT::SecurityProfile`

**AWS Config rule：**`tagged-iot-securityprofile`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS IoT Device Defender 安全性描述檔是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果安全性描述檔沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果沒有使用任何索引鍵標記安全性設定檔，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iot-1-remediation"></a>

若要將標籤新增至 AWS IoT Device Defender 安全性描述檔，請參閱《 *AWS IoT 開發人員指南*》中的[標記您的 AWS IoT 資源](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## 【IoT.2] AWS IoT Core 應標記緩解動作
<a name="iot-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoT::MitigationAction`

**AWS Config rule：**`tagged-iot-mitigationaction`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS IoT Core 緩解動作是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果緩解動作沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果緩解動作未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iot-2-remediation"></a>

若要將標籤新增至 AWS IoT Core 緩解動作，請參閱《 *AWS IoT 開發人員指南*》中的[標記您的 AWS IoT 資源](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## 【IoT.3] AWS IoT Core 維度應加上標籤
<a name="iot-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoT::Dimension`

**AWS Config rule：**`tagged-iot-dimension`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查維 AWS IoT Core 度是否具有具有參數 中定義之特定索引鍵的標籤`requiredTagKeys`。如果維度沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果維度未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iot-3-remediation"></a>

若要將標籤新增至 AWS IoT Core 維度，請參閱《 *AWS IoT 開發人員指南*》中的[標記您的 AWS IoT 資源](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## 【IoT.4] AWS IoT Core 授權方應加上標籤
<a name="iot-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoT::Authorizer`

**AWS Config rule：**`tagged-iot-authorizer`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS IoT Core 授權方是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果授權方沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果授權方未標記任何索引鍵，則 控制項會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iot-4-remediation"></a>

若要將標籤新增至 AWS IoT Core 授權方，請參閱《 *AWS IoT 開發人員指南*》中的[標記您的 AWS IoT 資源](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## 【IoT.5] AWS IoT Core 角色別名應加上標籤
<a name="iot-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoT::RoleAlias`

**AWS Config rule：**`tagged-iot-rolealias`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS IoT Core 角色別名是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果角色別名沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果角色別名未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iot-5-remediation"></a>

若要將標籤新增至 AWS IoT Core 角色別名，請參閱《 *AWS IoT 開發人員指南*》中的[標記您的 AWS IoT 資源](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

## 【IoT.6] AWS IoT Core 政策應加上標籤
<a name="iot-6"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoT::Policy`

**AWS Config rule：**`tagged-iot-policy`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS IoT Core 政策是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果政策沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果政策未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="iot-6-remediation"></a>

若要將標籤新增至 AWS IoT Core 政策，請參閱《 *AWS IoT 開發人員指南*》中的[標記您的 AWS IoT 資源](https://docs.aws.amazon.com/iot/latest/developerguide/tagging-iot.html)。

# AWS IoT 事件的 Security Hub CSPM 控制項
<a name="iotevents-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS IoT Events 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IoTEvents.1] AWS IoT Events 輸入應加上標籤
<a name="iotevents-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTEvents::Input`

**AWS Config 規則：**`iotevents-input-tagged`

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT Events 輸入是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果輸入沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果輸入未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotevents-1-remediation"></a>

若要將標籤新增至 AWS IoT Events 輸入，請參閱《 *AWS IoT Events 開發人員指南*》中的[標記您的 AWS IoT Events 資源](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)。

## 【IoTEvents.2] AWS IoT Events 偵測器模型應加上標籤
<a name="iotevents-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTEvents::DetectorModel`

**AWS Config 規則：**`iotevents-detector-model-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT Events 偵測器模型是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果偵測器模型沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果偵測器模型未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotevents-2-remediation"></a>

若要將標籤新增至 AWS IoT Events 偵測器模型，請參閱《 *AWS IoT Events 開發人員指南*》中的[標記您的 AWS IoT Events 資源](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)。

## 【IoTEvents.3] AWS IoT Events 警示模型應加上標籤
<a name="iotevents-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTEvents::AlarmModel`

**AWS Config 規則：**`iotevents-alarm-model-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT Events 警示模型是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果警示模型沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果警示模型未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotevents-3-remediation"></a>

若要將標籤新增至 AWS IoT 事件警示模型，請參閱《 *AWS IoT Events 開發人員指南*》中的[標記您的 AWS IoT Events 資源](https://docs.aws.amazon.com/iotevents/latest/developerguide/tagging-iotevents.html)。

# 適用於 AWS IoT SiteWise 的 Security Hub CSPM 控制項
<a name="iotsitewise-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS IoT SiteWise 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IoTSiteWise.1] AWS IoT SiteWise 資產模型應加上標籤
<a name="iotsitewise-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTSiteWise::AssetModel`

**AWS Config 規則：**`iotsitewise-asset-model-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT SiteWise 資產模型是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果資產模型沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資產模型未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotsitewise-1-remediation"></a>

若要將標籤新增至 AWS IoT SiteWise 資產模型，請參閱*AWS IoT SiteWise 《 使用者指南*》中的[標記您的 AWS IoT SiteWise 資源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)。

## 【IoTSiteWise.2] AWS IoT SiteWise 儀表板應加上標籤
<a name="iotsitewise-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTSiteWise::Dashboard`

**AWS Config 規則：**`iotsitewise-dashboard-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT SiteWise 儀表板是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果儀表板沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果儀表板未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotsitewise-2-remediation"></a>

若要將標籤新增至 AWS IoT SiteWise 儀表板，請參閱*AWS IoT SiteWise 《 使用者指南*》中的[標記您的 AWS IoT SiteWise 資源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)。

## 【IoTSiteWise.3] AWS IoT SiteWise 閘道應加上標籤
<a name="iotsitewise-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTSiteWise::Gateway`

**AWS Config 規則：**`iotsitewise-gateway-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT SiteWise 閘道是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果閘道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果閘道未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotsitewise-3-remediation"></a>

若要將標籤新增至 AWS IoT SiteWise 閘道，請參閱*AWS IoT SiteWise 《 使用者指南*》中的[標記您的 AWS IoT SiteWise 資源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)。

## 【IoTSiteWise.4] AWS IoT SiteWise 入口網站應加上標籤
<a name="iotsitewise-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTSiteWise::Portal`

**AWS Config 規則：**`iotsitewise-portal-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT SiteWise 入口網站是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果入口網站沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果入口網站未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotsitewise-4-remediation"></a>

若要將標籤新增至 AWS IoT SiteWise 入口網站，請參閱*AWS IoT SiteWise 《 使用者指南*》中的[標記您的 AWS IoT SiteWise 資源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)。

## 【IoTSiteWise.5] AWS IoT SiteWise 專案應加上標籤
<a name="iotsitewise-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTSiteWise::Project`

**AWS Config 規則：**`iotsitewise-project-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT SiteWise 專案是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果專案沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果專案未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotsitewise-5-remediation"></a>

若要將標籤新增至 AWS IoT SiteWise 專案，請參閱*AWS IoT SiteWise 《 使用者指南*》中的[標記您的 AWS IoT SiteWise 資源](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/tag-resources.html)。

# 適用於 AWS IoT TwinMaker 的 Security Hub CSPM 控制項
<a name="iottwinmaker-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS IoT TwinMaker 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IoTTwinMaker.1] AWS 應標記 IoT TwinMaker 同步任務
<a name="iottwinmaker-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTTwinMaker::SyncJob`

**AWS Config 規則：**`iottwinmaker-sync-job-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT TwinMaker 同步任務是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果同步任務沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果同步任務未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iottwinmaker-1-remediation"></a>

若要將標籤新增至 AWS IoT TwinMaker 同步任務，請參閱*AWS IoT TwinMaker 《 使用者指南*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)》中的 。

## 【IoTTwinMaker.2] AWS IoT TwinMaker 工作區應加上標籤
<a name="iottwinmaker-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTTwinMaker::Workspace`

**AWS Config 規則：**`iottwinmaker-workspace-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT TwinMaker 工作區是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果工作區沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果工作區未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iottwinmaker-2-remediation"></a>

若要將標籤新增至 AWS IoT TwinMaker 工作區，請參閱*AWS IoT TwinMaker 《 使用者指南*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)》中的 。

## 【IoTTwinMaker.3] AWS IoT TwinMaker 場景應加上標籤
<a name="iottwinmaker-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTTwinMaker::Scene`

**AWS Config 規則：**`iottwinmaker-scene-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT TwinMaker 場景是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果場景沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果場景未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iottwinmaker-3-remediation"></a>

若要將標籤新增至 AWS IoT TwinMaker 場景，請參閱*AWS IoT TwinMaker 《 使用者指南*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)》中的 。

## 【IoTTwinMaker.4] AWS IoT TwinMaker 實體應加上標籤
<a name="iottwinmaker-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTTwinMaker::Entity`

**AWS Config 規則：**`iottwinmaker-entity-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS IoT TwinMaker 實體是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果實體沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果實體未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iottwinmaker-4-remediation"></a>

若要將標籤新增至 AWS IoT TwinMaker 實體，請參閱*AWS IoT TwinMaker 《 使用者指南*[https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot-twinmaker/latest/apireference/API_TagResource.html)》中的 。

# 適用於 AWS IoT Wireless 的 Security Hub CSPM 控制
<a name="iotwireless-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS IoT Wireless 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IoTWireless.1] AWS IoT Wireless 多點傳送群組應加上標籤
<a name="iotwireless-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTWireless::MulticastGroup`

**AWS Config 規則：**`iotwireless-multicast-group-tagged`

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 an AWS IoT Wireless 多點傳送群組是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果多點傳送群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果多點傳送群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotwireless-1-remediation"></a>

若要將標籤新增至 an AWS IoT Wireless 多點傳送群組，請參閱《 *AWS IoT Wireless 開發人員指南*》中的[標記您的 AWS IoT Wireless 資源](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)。

## 【IoTWireless.2] AWS IoT Wireless 服務設定檔應加上標籤
<a name="iotwireless-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTWireless::ServiceProfile`

**AWS Config 規則：**`iotwireless-service-profile-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 an AWS IoT Wireless 服務描述檔是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果服務描述檔沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果服務設定檔未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotwireless-2-remediation"></a>

若要將標籤新增至 an AWS IoT Wireless 服務設定檔，請參閱《 *AWS IoT Wireless 開發人員指南*》中的[標記您的 AWS IoT Wireless 資源](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)。

## 【IoTWireless.3] AWS IoT FUOTA 任務應加上標籤
<a name="iotwireless-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IoTWireless::FuotaTask`

**AWS Config 規則：**`iotwireless-fuota-task-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 an AWS IoT Wireless 韌體over-the-air(FUOTA) 任務是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果 FUOTA 任務沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果 FUOTA 任務未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="iotwireless-3-remediation"></a>

若要將標籤新增至 an AWS IoT Wireless FUOTA 任務，請參閱《 *AWS IoT Wireless 開發人員指南*》中的[標記您的 AWS IoT Wireless 資源](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/tagging-iotwireless.html)。

# Amazon IVS 的 Security Hub CSPM 控制項
<a name="ivs-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Interactive Video Service (IVS) 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【IVS.1】 IVS 播放金鑰對應加上標籤
<a name="ivs-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IVS::PlaybackKeyPair`

**AWS Config 規則：**`ivs-playback-key-pair-tagged`

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 Amazon IVS 播放金鑰對是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果播放金鑰對沒有任何標籤金鑰，或沒有參數 中指定的所有金鑰，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果播放金鑰對未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="ivs-1-remediation"></a>

若要將標籤新增至 IVS 播放金鑰對，請參閱《Amazon IVS 即時串流 API 參考[https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)》中的 。 **

## 【IVS.2】 IVS 記錄組態應加上標籤
<a name="ivs-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IVS::RecordingConfiguration`

**AWS Config 規則：**`ivs-recording configuration-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 Amazon IVS 錄製組態是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果錄製組態沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果記錄組態未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="ivs-2-remediation"></a>

若要將標籤新增至 IVS 錄製組態，請參閱《Amazon IVS 即時串流 API 參考[https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)》中的 。 **

## 【IVS.3】 IVS 頻道應加上標籤
<a name="ivs-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::IVS::Channel`

**AWS Config 規則：**`ivs-channel-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 Amazon IVS 頻道是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果頻道沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果頻道未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="ivs-3-remediation"></a>

若要將標籤新增至 IVS 頻道，請參閱《Amazon IVS 即時串流 API 參考[https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html](https://docs.aws.amazon.com/ivs/latest/RealTimeAPIReference/API_TagResource.html)》中的 。 **

# Amazon Keyspaces 的 Security Hub CSPM 控制項
<a name="keyspaces-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Keyspaces 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Keyspaces.1】 Amazon Keyspaces 金鑰空間應加上標籤
<a name="keyspaces-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Cassandra::Keyspace`

**AWS Config 規則：**`cassandra-keyspace-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 Amazon Keyspaces 金鑰空間是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果鍵空間沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果索引鍵空間未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="keyspaces-1-remediation"></a>

若要將標籤新增至 Amazon Keyspaces 金鑰空間，請參閱《*Amazon Keyspaces 開發人員指南*》中的[將標籤新增至金鑰空間](https://docs.aws.amazon.com/keyspaces/latest/devguide/Tagging.Operations.existing.keyspace.html)。

# Kinesis 的 Security Hub CSPM 控制項
<a name="kinesis-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Kinesis 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Kinesis.1】 Kinesis 串流應靜態加密
<a name="kinesis-1"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::Kinesis::Stream`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)

**排程類型：**已觸發變更

**參數：**無 

此控制項會檢查 Kinesis Data Streams 是否使用伺服器端加密進行靜態加密。如果 Kinesis 串流未使用伺服器端加密進行靜態加密，則此控制會失敗。

伺服器端加密是 Amazon Kinesis Data Streams 的一項功能，可在資料處於靜態狀態之前使用 自動加密資料 AWS KMS key。資料會在寫入 Kinesis 串流儲存層之前加密，並在從儲存體擷取資料後解密。因此，您的資料會在 Amazon Kinesis Data Streams 服務內進行靜態加密。

### 修補
<a name="kinesis-1-remediation"></a>

如需有關為 Kinesis 串流啟用伺服器端加密的資訊，請參閱《*Amazon Kinesis 開發人員指南*》中的[如何開始使用伺服器端加密？](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html)。

## 【Kinesis.2】 Kinesis 串流應加上標籤
<a name="kinesis-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Kinesis::Stream`

**AWS Config rule：**`tagged-kinesis-stream`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Kinesis 資料串流是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料串流沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料串流未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="kinesis-2-remediation"></a>

若要將標籤新增至 Kinesis 資料串流，請參閱《[Amazon Kinesis 開發人員指南》中的在 Amazon Kinesis Data Streams 中標記串流](https://docs.aws.amazon.com/streams/latest/dev/tagging.html)。 *Amazon Kinesis *

## 【Kinesis.3】 Kinesis 串流應具有足夠的資料保留期
<a name="kinesis-3"></a>

**嚴重性：**中

**資源類型：** `AWS::Kinesis::Stream`

**AWS Config規則：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  minimumBackupRetentionPeriod  | 應保留資料的最小時數。 | String  | 24 至 8760  | 168  | 

此控制項會檢查 Amazon Kinesis 資料串流的資料保留期間是否大於或等於指定的時間範圍。如果資料保留期間小於指定的時間範圍，則控制項會失敗。除非您提供資料保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 168 小時。

在 Kinesis Data Streams 中，資料串流是一系列排序的資料記錄，旨在即時寫入和讀取。資料記錄會暫時存放在串流中的碎片中。從新增記錄的時間期間，到記錄不再可供存取的時間稱為保留期間。Kinesis Data Streams 幾乎會在減少保留期間後，立即讓超過新保留期的記錄無法存取。例如，將保留期間從 24 小時變更為 48 小時，表示在 23 小時 55 分鐘之前新增到串流的記錄仍會在 24 小時後提供。

### 修補
<a name="kinesis-3-remediation"></a>

若要變更 Kinesis Data Streams 的備份保留期，請參閱《*Amazon Kinesis Data Streams 開發人員指南*》中的[變更資料保留期](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html)。

# 的 Security Hub CSPM 控制項 AWS KMS
<a name="kms-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Key Management Service (AWS KMS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作
<a name="kms-1"></a>

**相關需求：**NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::IAM::Policy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html)

**排程類型：**已觸發變更

**參數：**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` （不可自訂）
+ `excludePermissionBoundaryPolicy`：`True`（不可自訂）

檢查 IAM 客戶受管政策的預設版本是否允許主體在所有資源上使用 AWS KMS 解密動作。如果政策開啟程度足以允許對所有 KMS 金鑰執行 `kms:Decrypt`或 `kms:ReEncryptFrom`動作，則控制項會失敗。

控制項只會檢查資源元素中的 KMS 金鑰，不會考慮政策條件元素中的任何條件。此外，控制項會評估已連接和未連接的客戶受管政策。它不會檢查內嵌政策或 AWS 受管政策。

透過 AWS KMS，您可以控制誰可以使用您的 KMS 金鑰，並存取您的加密資料。IAM 政策定義身分 （使用者、群組或角色） 可以對哪些資源執行哪些動作。遵循安全最佳實務， AWS 建議您允許最低權限。換句話說，您應該僅將 `kms:Decrypt`或 `kms:ReEncryptFrom`許可授予身分，並僅授予執行任務所需的金鑰。否則，使用者可能會使用不適合您資料的金鑰。

決定使用者存取加密資料所需的最低金鑰集，而不是授予所有金鑰的許可。然後設計僅允許使用者使用這些金鑰的政策。例如，不允許所有 KMS 金鑰的`kms:Decrypt`許可。反之，`kms:Decrypt`只允許 帳戶特定區域中的金鑰。透過採用最低權限原則，您可以降低意外揭露資料的風險。

### 修補
<a name="kms-1-remediation"></a>

若要修改 IAM 客戶受管政策，請參閱《*IAM 使用者指南*》中的[編輯客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)。編輯政策時，請針對 `Resource` 欄位提供您要允許解密動作之特定金鑰的 Amazon Resource Name (ARN)。

## 【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策
<a name="kms-2"></a>

**相關需求：**NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：**
+ `AWS::IAM::Group`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html](https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html)

**排程類型：**已觸發變更

**參數：**
+ `blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt` （不可自訂）

此控制項會檢查內嵌在 IAM 身分 （角色、使用者或群組） 中的內嵌政策是否允許對所有 KMS 金鑰進行 AWS KMS 解密和重新加密動作。如果政策開啟程度足以允許對所有 KMS 金鑰執行 `kms:Decrypt`或 `kms:ReEncryptFrom`動作，則控制項會失敗。

控制項只會檢查資源元素中的 KMS 金鑰，不會考慮政策條件元素中的任何條件。

透過 AWS KMS，您可以控制誰可以使用您的 KMS 金鑰，並存取您的加密資料。IAM 政策定義身分 （使用者、群組或角色） 可以對哪些資源執行哪些動作。遵循安全最佳實務， AWS 建議您允許最低權限。換言之，您應該僅授予身分所需的許可，並僅授予執行任務所需的金鑰。否則，使用者可能會使用不適合您資料的金鑰。

決定使用者存取加密資料所需的金鑰集下限，而不是授予所有金鑰的許可。然後設計僅允許使用者使用這些金鑰的政策。例如，不允許所有 KMS 金鑰的`kms:Decrypt`許可。反之，請只對帳戶特定區域中的特定金鑰允許 許可。透過採用最低權限原則，您可以降低意外揭露資料的風險。

### 修補
<a name="kms-2-remediation"></a>

若要修改 IAM 內嵌政策，請參閱《*IAM 使用者指南*》中的[編輯內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)。編輯政策時，請針對 `Resource` 欄位提供您要允許解密動作之特定金鑰的 Amazon Resource Name (ARN)。

## 【KMS.3】 AWS KMS keys 不應意外刪除
<a name="kms-3"></a>

**相關要求：**NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-12(2)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**嚴重

**資源類型：** `AWS::KMS::Key`

**AWS Config rule：**`kms-cmk-not-scheduled-for-deletion-2`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已排定刪除 KMS 金鑰。如果排定刪除 KMS 金鑰，則控制項會失敗。

刪除後，無法復原 KMS 金鑰。如果刪除 KMS 金鑰，在 KMS 金鑰下加密的資料也會永久無法復原。如果有意義的資料已在排程刪除的 KMS 金鑰下加密，請考慮解密資料或在新的 KMS 金鑰下重新加密資料，除非您刻意執行*密碼編譯清除*。

當 KMS 金鑰排定刪除時，如果排程錯誤，則會強制執行強制等待期間，以允許時間反轉刪除。預設等待期間為 30 天，但在排定刪除 KMS 金鑰時，可以縮短為 7 天。在等待期間，排程刪除可以取消，而且不會刪除 KMS 金鑰。

如需有關刪除 KMS 金鑰的其他資訊，請參閱《 *AWS Key Management Service 開發人員指南*》中的[刪除 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。

### 修補
<a name="kms-3-remediation"></a>

若要取消排定的 KMS 金鑰刪除，請參閱《 *AWS Key Management Service 開發人員指南*》中的**在**[排程和取消金鑰刪除 （主控台） 下取消金鑰刪除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-scheduling-key-deletion.html#deleting-keys-scheduling-key-deletion-console)。

## 【KMS.4】 應啟用 AWS KMS 金鑰輪換
<a name="kms-4"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.6、CIS AWS Foundations Benchmark v3.0.0/3.6、CIS AWS Foundations Benchmark v1.4.0/3.8、CIS AWS Foundations Benchmark v1.2.0/2.8、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-28(3)、PCI DSS v3.2.1/3.6.4、PCI DSS v4.0.1/3.7.4

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::KMS::Key`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html)

**排程類型：**定期

**參數：**無

AWS KMS 可讓客戶輪換後端金鑰，這是存放在 中的金鑰材料 AWS KMS ，並與 KMS 金鑰的金鑰 ID 繫結。它是用來執行加密操作的備份金鑰，例如加密和解密。自動化輪換金鑰目前會保留之前所有的備份金鑰，以便透明解密加密的資料。

CIS 建議您啟用 KMS 金鑰輪換。輪換加密金鑰有助於降低被盜用金鑰造成的可能影響，因為可能公開的舊金鑰無法存取使用新金鑰加密的資料。

### 修補
<a name="kms-4-remediation"></a>

若要啟用 KMS 金鑰輪換，請參閱《 *AWS Key Management Service 開發人員指南*》中的[如何啟用和停用自動金鑰輪換](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable)。

## 【KMS.5】 不應公開存取 KMS 金鑰
<a name="kms-5"></a>

**類別：**保護 > 安全網路組態 > 資源不可公開存取

**嚴重性：**嚴重

**資源類型：** `AWS::KMS::Key`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/kms-key-policy-no-public-access.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 是否 AWS KMS key 可公開存取。如果 KMS 金鑰可公開存取，則控制項會失敗。

實作最低權限存取對於降低安全風險以及錯誤或惡意意圖的影響至關重要。如果 的金鑰政策 AWS KMS key 允許從外部帳戶存取，第三方可能可以使用金鑰來加密和解密資料。這可能會導致來自使用 金鑰 AWS 服務 之 的內部或外部威脅滲透資料。

**注意**  
 AWS KMS key 如果您的組態 AWS Config 無法在 KMS 金鑰的組態項目 (CI) 中記錄金鑰政策，則此控制項也會傳回 的問題`FAILED`清單。若要 AWS Config 讓 在 KMS 金鑰的 CI 中填入金鑰政策，[AWS Config 角色](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html#gs-cli-create-iamrole)必須具有使用 [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) API 呼叫讀取金鑰政策的存取權。若要解決此類`FAILED`問題清單，請檢查可阻止 AWS Config 角色對 KMS 金鑰的金鑰政策具有讀取存取權的政策。例如，請檢查下列項目：  
KMS 金鑰的金鑰政策。
適用於您帳戶的 中的[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) [和資源控制政策 RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。 AWS Organizations 
如果您未使用[AWS Config 服務連結](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html) AWS Config 角色，則為角色的許可。
此外，此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果，金鑰政策中的條件只能使用固定值，這些值不包含萬用字元或政策變數。如需政策變數的相關資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

### 修補
<a name="kms-5-remediation"></a>

如需更新 金鑰政策的相關資訊 AWS KMS key，請參閱《 *AWS Key Management Service 開發人員指南*》中的 中的[金鑰政策 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-overview)。

# 的 Security Hub CSPM 控制項 AWS Lambda
<a name="lambda-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Lambda 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Lambda.1】 Lambda 函數政策應禁止公開存取
<a name="lambda-1"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：** `AWS::Lambda::Function`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Lambda 函數資源型政策是否禁止您帳戶外部的公開存取。如果允許公開存取，則控制項會失敗。如果從 Amazon S3 叫用 Lambda 函數，且政策不包含限制公開存取的條件，則控制項也會失敗，例如 `AWS:SourceAccount`。我們建議您在儲存貯體政策`AWS:SourceAccount`中使用其他 S3 條件以及 ，以獲得更精確的存取。

**注意**  
此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果，Lambda 函數政策中的條件只能使用固定值，這些值不包含萬用字元或政策變數。如需政策變數的相關資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

Lambda 函數不應公開存取，因為這可能會允許意外存取您的函數程式碼。

### 修補
<a name="lambda-1-remediation"></a>

若要修復此問題，您必須更新函數的資源型政策，以移除許可或新增`AWS:SourceAccount`條件。您只能從 Lambda API 或 更新資源型政策 AWS CLI。

若要開始，[請檢閱 Lambda 主控台上的資源型政策](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。識別具有讓政策公開之`Principal`欄位值的政策陳述式，例如 `"*"`或 `{ "AWS": "*" }`。

您無法從 主控台編輯政策。若要從 函數移除許可，請從 執行 [https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html](https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html)命令 AWS CLI。

```
$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>
```

`<function-name>` 將 取代為 Lambda 函數的名稱，並將 `<statement-id>` 取代為您要移除之陳述式的陳述式 ID (`Sid`)。

## 【Lambda.2】 Lambda 函數應使用支援的執行時間
<a name="lambda-2"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/12.3.4

**類別：**保護 > 安全開發

**嚴重性：**中

**資源類型：** `AWS::Lambda::Function`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html)

**排程類型：**變更已觸發

**參數：**
+ `runtime`：`dotnet10, dotnet8, java25, java21, java17, java11, java8.al2, nodejs24.x, nodejs22.x, nodejs20.x, python3.14, python3.13, python3.12, python3.11, python3.10, ruby3.4, ruby3.3`（不可自訂）

此控制項會檢查 AWS Lambda 函數執行時間設定是否符合每種語言中支援執行時間設定的預期值。如果 Lambda 函數不使用支援的執行時間，則控制項會失敗，如參數一節所述。Security Hub CSPM 會忽略套件類型為 的函數`Image`。

Lambda 執行時間是以作業系統、程式設計語言和軟體程式庫的組合為基礎，這些程式庫會受到維護和安全性更新的影響。當安全性更新不再支援執行期元件時，Lambda 會棄用執行期。即使您無法建立使用已棄用執行時間的函數，該函數仍然可用於處理調用事件。我們建議確保您的 Lambda 函數是最新的，並且不使用已棄用的執行時間環境。如需支援的執行時間清單，請參閱《 *AWS Lambda 開發人員指南*》中的 [Lambda 執行時間](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)。

### 修補
<a name="lambda-2-remediation"></a>

如需支援的執行期和棄用排程的詳細資訊，請參閱《 *AWS Lambda 開發人員指南*》中的[執行期棄用政策](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。當將執行時間遷移至最新版本時，請遵循語言發佈者提供的語法和指導。我們也建議套用[執行時間更新](https://docs.aws.amazon.com/lambda/latest/dg/runtimes-update.html#runtime-management-controls)，以協助降低在執行時間版本不相容的罕見情況下，對工作負載造成影響的風險。

## 【Lambda.3】 Lambda 函數應該位於 VPC 中
<a name="lambda-3"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**低

**資源類型： ** `AWS::Lambda::Function`

**AWS Config 規則： ** [https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Lambda 函數是否部署在虛擬私有雲端 (VPC) 中。如果未在 VPC 中部署 Lambda 函數，則控制項會失敗。Security Hub CSPM 不會評估 VPC 子網路路由組態來判斷公有連線能力。您可能會看到 Lambda@Edge 資源的失敗問題清單。

在 VPC 中部署資源可增強安全性並控制網路組態。這類部署也提供跨多個可用區域的可擴展性和高容錯能力。您可以自訂 VPC 部署以滿足各種應用程式需求。

### 修補
<a name="lambda-3-remediation"></a>

若要將現有 函數設定為連接到 VPC 中的私有子網路，請參閱《 *AWS Lambda 開發人員指南*》中的[設定 VPC 存取](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)。我們建議您為高可用性選擇至少兩個私有子網路，以及至少有一個符合 函數連線需求的安全群組。

## 【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作
<a name="lambda-5"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Lambda::Function`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `availabilityZones`  |  可用區域數目下限  |  列舉  |  `2, 3, 4, 5, 6`  |  `2`  | 

此控制項會檢查連線至虛擬私有雲端 (VPC) 的 AWS Lambda 函數是否至少在指定數量的可用區域 (AZs中運作。如果函數未在至少指定數量AZs 中操作，則控制項會失敗。除非您提供最低 AZs 數量的自訂參數值，否則 Security Hub CSPM 會使用兩個 AZs 的預設值。

在多個AZs部署資源是 AWS 最佳實務，可確保架構內的高可用性。可用性是機密性、完整性和可用性三要素安全模型的核心支柱。連接到 VPC 的所有 Lambda 函數都應有多可用區域部署，以確保單一故障區域不會造成操作的完全中斷。

### 修補
<a name="lambda-5-remediation"></a>

如果您將函數設定為連接到帳戶中的 VPC，請在多個AZs指定子網路，以確保高可用性。如需說明，請參閱《 *AWS Lambda 開發人員指南*》中的[設定 VPC 存取](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)。

Lambda 會自動在多個AZs執行其他函數，以確保在單一區域中發生服務中斷時，它可用於處理事件。

## 【Lambda.6】 應標記 Lambda 函數
<a name="lambda-6"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Lambda::Function`

**AWS Config rule：**`tagged-lambda-function`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Lambda 函數是否具有具有參數 中定義之特定索引鍵的標籤`requiredTagKeys`。如果函數沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果函數未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="lambda-6-remediation"></a>

若要將標籤新增至 Lambda 函數，請參閱《 *AWS Lambda 開發人員指南*》中的[在 Lambda 函數上使用標籤](https://docs.aws.amazon.com/lambda/latest/dg/configuration-tags.html)。

## 【Lambda.7】 Lambda 函數應該啟用 AWS X-Ray 主動追蹤
<a name="lambda-7"></a>

**相關需求：**NIST.800-53.r5 CA-7

**類別：**識別 > 記錄日誌

**嚴重性：**低

**資源類型：** `AWS::Lambda::Function`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-xray-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS X-Ray 函數是否已啟用使用 的 AWS Lambda 主動追蹤。如果停用 Lambda 函數的 X-Ray 主動追蹤，則控制項會失敗。

AWS X-Ray 可以為 AWS Lambda 函數提供追蹤和監控功能，可節省時間和精力偵錯和操作 Lambda 函數。它可以透過分解 Lambda 函數的延遲，協助您診斷錯誤並識別效能瓶頸、速度變慢和逾時。它也可以協助處理資料隱私權和合規要求。如果您啟用 Lambda 函數的主動追蹤，X-Ray 會提供 Lambda 函數內資料流程和處理的整體檢視，這可協助您識別潛在的安全漏洞或不合規的資料處理實務。此可見性可協助您維護資料完整性、機密性和符合相關法規。

**注意**  
AWS X-Ray 使用 Amazon Managed Streaming for Apache Kafka (Amazon MSK)、自我管理 Apache Kafka、使用 ActiveMQ 和 RabbitMQ 的 Amazon MQ 或 Amazon DocumentDB 事件來源映射的 Lambda 函數目前不支援 追蹤。

### 修補
<a name="lambda-7-remediation"></a>

如需為 AWS Lambda 函數啟用主動追蹤的詳細資訊，請參閱《 *AWS Lambda 開發人員指南*》中的[使用 視覺化 Lambda 函數叫用 AWS X-Ray](https://docs.aws.amazon.com/lambda/latest/dg/services-xray.html)。

# Macie 的 Security Hub CSPM 控制項
<a name="macie-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Macie 服務。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Macie.1】 應啟用 Amazon Macie
<a name="macie-1"></a>

**相關需求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 RA-5、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SI-4

**類別：**偵測 > 偵測服務

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-status-check.html)

**排程類型：**定期

此控制項會檢查 帳戶是否已啟用 Amazon Macie。如果未為帳戶啟用 Macie，則控制項會失敗。

Amazon Macie 使用機器學習和模式比對來探索敏感資料，提供資料安全風險的可見性，並實現對這些風險的自動化保護。Macie 會自動並持續評估 Amazon Simple Storage Service (Amazon S3) 儲存貯體的安全性和存取控制，並產生調查結果，以通知您 Amazon S3 資料的安全性或隱私權潛在問題。Macie 也會自動化敏感資料的探索和報告，例如個人身分識別資訊 (PII)，讓您更深入了解存放在 Amazon S3 中的資料。若要進一步了解，請參閱 [https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)。

### 修補
<a name="macie-1-remediation"></a>

若要啟用 Macie，請參閱《Amazon [Macie 使用者指南》中的啟用](https://docs.aws.amazon.com/macie/latest/user/getting-started.html#enable-macie) Macie。 *Amazon Macie *

## 【Macie.2】 應啟用 Macie 自動化敏感資料探索
<a name="macie-2"></a>

**相關需求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 RA-5、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SI-4

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html](https://docs.aws.amazon.com/config/latest/developerguide/macie-auto-sensitive-data-discovery-check.html)

**排程類型：**定期

此控制項會檢查 Amazon Macie 管理員帳戶是否已啟用自動敏感資料探索。如果 Macie 管理員帳戶未啟用自動敏感資料探索，則控制項會失敗。此控制項僅適用於管理員帳戶。

Macie 會自動探索和報告 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的敏感資料，例如個人身分識別資訊 (PII)。透過自動化敏感資料探索，Macie 會持續評估您的儲存貯體庫存，並使用抽樣技術來識別和選取儲存貯體中的代表性 S3 物件。Macie 接著會分析選取的物件，並檢查它們是否有敏感資料。隨著分析的進行，Macie 會更新統計資料、庫存資料，以及它提供的 S3 資料其他資訊。Macie 也會產生調查結果，以報告找到的敏感資料。

### 修補
<a name="macie-2-remediation"></a>

若要建立和設定自動敏感資料探索任務以分析 S3 儲存貯體中的物件，請參閱《*Amazon Macie 使用者指南*》中的[為您的帳戶設定自動敏感資料探索](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html)。

# Amazon MSK 的 Security Hub CSPM 控制項
<a name="msk-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Managed Streaming for Apache Kafka (Amazon MSK) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【MSK.1】 MSK 叢集應在代理程式節點之間傳輸時加密
<a name="msk-1"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::MSK::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-in-cluster-node-require-tls.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MSK 叢集是否在叢集的代理程式節點之間使用 HTTPS (TLS) 傳輸中加密。如果啟用叢集代理程式節點連線的純文字通訊，則控制項會失敗。

HTTPS 提供額外的安全層，因為它使用 TLS 來移動資料，可用於防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操作網路流量。根據預設，Amazon MSK 會使用 TLS 加密傳輸中的資料。不過，您可以在建立叢集時覆寫此預設值。我們建議透過 HTTPS (TLS) 為代理程式節點連線使用加密連線。

### 修補
<a name="msk-1-remediation"></a>

如需有關更新 Amazon MSK 叢集加密設定的資訊，請參閱《*Amazon Managed Streaming for Apache Kafka 開發人員指南*》中的[更新叢集的安全性設定](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html)。

## 【MSK.2】 MSK 叢集應已設定增強型監控
<a name="msk-2"></a>

**相關要求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：** `AWS::MSK::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-enhanced-monitoring-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MSK 叢集是否已設定增強型監控，由至少 的監控層級指定`PER_TOPIC_PER_BROKER`。如果叢集的監控層級設定為 `DEFAULT`或 ，則控制項會失敗`PER_BROKER`。

`PER_TOPIC_PER_BROKER` 監控層級提供更精細的 MSK 叢集效能洞察，也提供與資源使用率相關的指標，例如 CPU 和記憶體使用量。這可協助您識別個別主題和代理程式的效能瓶頸和資源使用率模式。此可見性可最佳化 Kafka 代理程式的效能。

### 修補
<a name="msk-2-remediation"></a>

若要設定 MSK 叢集的增強型監控，請完成下列步驟：

1. 開啟 Amazon MSK 主控台，網址為 [https://console.aws.amazon.com/msk/home?region=us-east-1\$1/home/](https://console.aws.amazon.com/msk/home?region=us-east-1#/home/)。

1. 在導覽窗格中，選擇**叢集**。然後，選擇叢集。

1. 針對**動作**，選取**編輯監控**。

1. 選取**增強型主題層級監控**的選項。

1. 選擇**儲存變更**。

如需監控層級的詳細資訊，請參閱《[Amazon Managed Streaming for Apache Kafka 開發人員指南》中的使用 CloudWatch 監控標準代理程式的 Amazon MSK 指標](https://docs.aws.amazon.com/msk/latest/developerguide/metrics-details.html)。 **

## 【MSK.3】 MSK Connect 連接器應在傳輸中加密
<a name="msk-3"></a>

**相關要求：**PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::KafkaConnect::Connector`

**AWS Config rule：**`msk-connect-connector-encrypted`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MSK Connect 連接器是否在傳輸中加密。如果連接器未在傳輸中加密，則此控制項會失敗。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如叢集中的節點之間，或叢集與您的應用程式之間。資料可能會在網際網路或私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。

### 修補
<a name="msk-3-remediation"></a>

您可以在建立 MSK Connect 連接器時啟用傳輸中加密。您無法在建立連接器後變更加密設定。如需詳細資訊，請參閱《*Amazon Managed Streaming for Apache Kafka 開發人員指南*》中的[建立連接器](https://docs.aws.amazon.com/msk/latest/developerguide/mkc-create-connector-intro.html)。

## 【MSK.4】 MSK 叢集應停用公有存取
<a name="msk-4"></a>

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**嚴重

**資源類型：** `AWS::MSK::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-cluster-public-access-disabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MSK 叢集的公有存取是否已停用。如果 MSK 叢集已啟用公有存取，則控制項會失敗。

根據預設，用戶端只有在與叢集位於相同的 VPC 中時，才能存取 Amazon MSK 叢集。根據預設，Kafka 用戶端和 MSK 叢集之間的所有通訊都是私有的，串流資料不會周遊網際網路。不過，如果 MSK 叢集設定為允許公開存取，則網際網路上的任何人都可以與叢集內執行的 Apache Kafka 代理程式建立連線。這可能會導致未經授權的存取、資料外洩或漏洞利用等問題。如果您要求身分驗證和授權措施來限制對叢集的存取，您可以協助保護敏感資訊和維護資源的完整性。

### 修補
<a name="msk-4-remediation"></a>

如需管理 Amazon MSK 叢集公有存取權的資訊，請參閱《*Amazon Managed Streaming for Apache Kafka 開發人員指南*》中的[開啟 MSK 佈建叢集的公有存取權](https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html)。

## 【MSK.5】 MSK 連接器應該已啟用記錄
<a name="msk-5"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::KafkaConnect::Connector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-connect-connector-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已為 Amazon MSK 連接器啟用記錄。如果停用 MSK 連接器的記錄，則控制項會失敗。

Amazon MSK 連接器透過持續將串流資料從資料來源複製到 Apache Kafka 叢集，或持續將資料從叢集複製到資料接收器，來整合外部系統和 Amazon 服務與 Apache Kafka。MSK Connect 可以撰寫日誌事件，以協助偵錯連接器。當您建立連接器時，您可以指定下列零個或多個日誌目的地：Amazon CloudWatch Logs、Amazon S3 和 Amazon Data Firehose。

**注意**  
如果外掛程式未將這些值定義為秘密，則敏感組態值可能會顯示在連接器日誌中。Kafka Connect 會將未定義的組態值視為與任何其他純文字值相同。

### 修補
<a name="msk-5-remediation"></a>

若要啟用現有 Amazon MSK 連接器的記錄，您必須使用適當的記錄組態重新建立連接器。如需組態選項的詳細資訊，請參閱《*Amazon Managed Streaming for Apache Kafka 開發人員指南*》中的 [MSK Connect 記錄](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html)。

## 【MSK.6】 MSK 叢集應停用未驗證的存取
<a name="msk-6"></a>

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::MSK::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/msk-unrestricted-access-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已啟用 Amazon MSK 叢集的未驗證存取。如果 MSK 叢集已啟用未經驗證的存取，則控制項會失敗。

Amazon MSK 支援用戶端身分驗證和授權機制，以控制對叢集的存取。這些機制會驗證連線至叢集之用戶端的身分，並判斷用戶端可執行的動作。MSK 叢集可以設定為允許未經驗證的存取，這允許具有網路連線的任何用戶端發佈和訂閱 Kafka 主題，而無需提供登入資料。在不要求身分驗證的情況下執行 MSK 叢集會違反最低權限原則，而且可能會讓叢集暴露在未經授權的存取中。它可以允許任何用戶端存取、修改或刪除 Kafka 主題中的資料，這可能會導致資料外洩、未經授權的資料修改或服務中斷。我們建議啟用身分驗證機制，例如 IAM 身分驗證、SASL/SCRAM 或交互 TLS，以確保適當的存取控制和維護安全合規。

### 修補
<a name="msk-6-remediation"></a>

如需有關變更 Amazon MSK 叢集身分驗證設定的資訊，請參閱《*Amazon Managed Streaming for Apache Kafka 開發人員指南*》中的下列章節：[更新 Amazon MSK 叢集的安全性設定](https://docs.aws.amazon.com/msk/latest/developerguide/msk-update-security.html)，以及 [Apache Kafka APIs的身分驗證和授權](https://docs.aws.amazon.com/msk/latest/developerguide/kafka_apis_iam.html)。

# Amazon MQ 的 Security Hub CSPM 控制項
<a name="mq-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon MQ 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch
<a name="mq-2"></a>

**相關要求：**NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-12、NIST.800-53.r5 SI-4、PCI DSS v4.0.1/10.3.3

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::AmazonMQ::Broker`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-cloudwatch-audit-log-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MQ ActiveMQ 代理程式是否將稽核日誌串流至 Amazon CloudWatch Logs。如果代理程式未將稽核日誌串流至 CloudWatch Logs，則控制項會失敗。

透過將 ActiveMQ 代理程式日誌發佈至 CloudWatch Logs，您可以建立 CloudWatch 警示和指標，以提高安全相關資訊的可見性。

### 修補
<a name="mq-2-remediation"></a>

若要將 ActiveMQ 代理程式日誌串流至 CloudWatch Logs，請參閱《[Amazon MQ 開發人員指南》中的設定 Amazon MQ for ActiveMQ 日誌](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html)。 *Amazon MQ *

## 【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級
<a name="mq-3"></a>

**重要**  
Security Hub CSPM 已於 2026 年 1 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關要求：**NIST.800-53.r5 CM-3、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::AmazonMQ::Broker`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-auto-minor-version-upgrade-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MQ 代理程式是否已啟用自動次要版本升級。如果代理程式未啟用自動次要版本升級，則控制項會失敗。

隨著 Amazon MQ 發行並支援新的代理程式引擎版本，變更會與現有的應用程式回溯相容，而不會取代現有的功能。自動代理程式引擎版本更新可保護您免於安全風險、協助修正錯誤並改善功能。

**注意**  
當與自動次要版本升級相關聯的代理程式在其最新的修補程式上且變得不受支援時，您必須採取手動動作進行升級。

### 修補
<a name="mq-3-remediation"></a>

若要啟用 MQ 代理程式的自動次要版本升級，請參閱《*Amazon MQ 開發人員指南*》中的[自動升級次要引擎版本](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/upgrading-brokers.html#upgrading-brokers-automatic-upgrades.html)。

## 【MQ.4】 Amazon MQ 代理程式應加上標籤
<a name="mq-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::AmazonMQ::Broker`

**AWS Config rule：**`tagged-amazonmq-broker`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon MQ 代理程式是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果代理程式沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果代理程式未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="mq-4-remediation"></a>

若要將標籤新增至 Amazon MQ 代理程式，請參閱《*Amazon MQ 開發人員指南*》中的[標記資源](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-tagging.html)。

## 【MQ.5】 ActiveMQ 代理程式應使用作用中/待命部署模式
<a name="mq-5"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**低

**資源類型：** `AWS::AmazonMQ::Broker`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-active-deployment-mode.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MQ ActiveMQ 代理程式的部署模式是否設定為作用中/待命。如果單一執行個體代理程式 （預設為啟用） 設定為部署模式，則控制項會失敗。

作用中/待命部署可為 中的 Amazon MQ ActiveMQ 代理程式提供高可用性 AWS 區域。作用中/待命部署模式包括在兩個不同可用區域中的兩個代理程式執行個體，以備援對設定。這些代理程式會與您的應用程式同步通訊，以減少發生故障時的停機時間和資料遺失。

### 修補
<a name="mq-5-remediation"></a>

若要使用作用中/待命部署模式建立新的 ActiveMQ 代理程式，請參閱《Amazon MQ 開發人員指南》中的[建立和設定 ActiveMQ 代理程式](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-creating-configuring-broker.html)。 *Amazon MQ * 針對**部署模式**，選擇**作用中/待命代理**程式。您無法變更現有代理程式的部署模式。相反地，您必須建立新的代理程式，並從舊代理程式複製設定。

## 【MQ.6】 RabbitMQ 代理程式應使用叢集部署模式
<a name="mq-6"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**低

**資源類型：** `AWS::AmazonMQ::Broker`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html](https://docs.aws.amazon.com/config/latest/developerguide/mq-rabbit-deployment-mode.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon MQ RabbitMQ 代理程式的部署模式是否設定為叢集部署。如果單一執行個體代理程式 （預設為啟用） 設定為部署模式，則控制項會失敗。

叢集部署可為 中的 Amazon MQ RabbitMQ 代理程式提供高可用性 AWS 區域。叢集部署是三個 RabbitMQ 代理程式節點的邏輯分組，每個節點都有自己的 Amazon Elastic Block Store (Amazon EBS) 磁碟區和共用狀態。叢集部署可確保資料複寫到叢集中的所有節點，這可減少發生故障時的停機時間和資料遺失。

### 修補
<a name="mq-6-remediation"></a>

若要使用叢集部署模式建立新的 RabbitMQ 代理程式，請參閱《Amazon MQ 開發人員指南》中的[建立並連線至 RabbitMQ 代理程式](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/getting-started-rabbitmq.html)。 *Amazon MQ * 針對**部署模式**，選擇**叢集部署**。您無法變更現有代理程式的部署模式。相反地，您必須建立新的代理程式，並從舊代理程式複製設定。

# Neptune 的 Security Hub CSPM 控制項
<a name="neptune-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Neptune 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Neptune.1】 Neptune 資料庫叢集應靜態加密
<a name="neptune-1"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Neptune 資料庫叢集是否靜態加密。如果 Neptune 資料庫叢集未靜態加密，則控制項會失敗。

靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性，降低未經授權的使用者可存取資料的風險。加密 Neptune 資料庫叢集可保護您的資料和中繼資料免於未經授權的存取。它還滿足生產檔案系統data-at-rest加密的合規要求。

### 修補
<a name="neptune-1-remediation"></a>

您可以在建立 Neptune 資料庫叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊，請參閱《[Neptune 使用者指南》中的加密靜態 Neptune 資源](https://docs.aws.amazon.com/neptune/latest/userguide/encrypt.html)。 **

## 【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
<a name="neptune-2"></a>

**相關要求：** NIST.800-53.r5 AC-2(4)， NIST.800-53.r5 AC-4(26)， NIST.800-53.r5 AC-6(9)， NIST.800-53.r5 AU-10， NIST.800-53.r5 AU-12、 NIST.800-53.r5 AU-2、 NIST.800-53.r5 AU-3、 NIST.800-53.r5 AU-6(1)， NIST.800-53.r5 AU-6(3)， NIST.800-53.r5 AU-6(4)， NIST.800-53.r5 AU-6(5)， NIST.800-53.r5 AU-7(1)， NIST.800-53.r5 AU-9(7)， NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)， NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8)， NIST.800-53.r5 SI-4(20)， NIST.800-53.r5 SI-4(5)， NIST.800-53.r5 SI-7(8)， PCI DSS 4.0.1/10.3.3 版

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-cloudwatch-log-export-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Neptune 資料庫叢集是否將稽核日誌發佈至 Amazon CloudWatch Logs。如果 Neptune 資料庫叢集未將稽核日誌發佈至 CloudWatch Logs，則控制項會失敗。 `EnableCloudWatchLogsExport`應該設定為 `Audit`。

Amazon Neptune 與 Amazon CloudWatch 整合，以便您可以收集並分析效能指標。Neptune 會自動將指標傳送至 CloudWatch，也支援 CloudWatch 警示。稽核日誌可高度自訂。當您稽核資料庫時，可以監控資料上的每個操作並將其記錄到稽核追蹤，包括有關存取哪些資料庫叢集以及如何存取的資訊。建議您將這些日誌傳送至 CloudWatch，以協助您監控 Neptune 資料庫叢集。

### 修補
<a name="neptune-2-remediation"></a>

若要將 Neptune 稽核日誌發佈至 CloudWatch Logs，請參閱[《Neptune 使用者指南》中的將 Neptune 日誌發佈至 Amazon CloudWatch Logs](https://docs.aws.amazon.com/neptune/latest/userguide/cloudwatch-logs.html)。 **在**日誌匯出**區段中，選擇**稽核**。

## 【Neptune.3】 Neptune 資料庫叢集快照不應公開
<a name="neptune-3"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 )

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**嚴重

**資源類型：** `AWS::RDS::DBClusterSnapshot`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-public-prohibited.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Neptune 手動資料庫叢集快照是否為公有。如果 Neptune 手動資料庫叢集快照為公有，則控制項會失敗。

除非預期，否則 Neptune 資料庫叢集手動快照不應公開。如果您將未加密的手動快照共用為公有，則快照可供所有 使用 AWS 帳戶。公有快照可能會導致意外的資料暴露。

### 修補
<a name="neptune-3-remediation"></a>

若要移除 Neptune 手動資料庫叢集快照的公有存取權，請參閱 ** [Neptune 使用者指南中的共用資料庫叢集快照](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-share-snapshot.html)。

## 【Neptune.4】 Neptune 資料庫叢集應啟用刪除保護
<a name="neptune-4"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**低

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-deletion-protection-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Neptune 資料庫叢集是否已啟用刪除保護。如果 Neptune 資料庫叢集未啟用刪除保護，則控制項會失敗。

啟用叢集刪除保護可提供額外的保護層，防止未經授權的使用者意外刪除或刪除資料庫。啟用刪除保護時，無法刪除 Neptune 資料庫叢集。您必須先停用刪除保護，刪除請求才能成功。

### 修補
<a name="neptune-4-remediation"></a>

若要啟用現有 Neptune 資料庫叢集的刪除保護，請參閱《*Amazon Aurora 使用者指南*》中的[使用主控台、CLI 和 API 修改資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Settings)。

## 【Neptune.5】 Neptune 資料庫叢集應該啟用自動備份
<a name="neptune-5"></a>

**相關要求：**NIST.800-53.r5 SI-12

**類別：**復原 > 恢復 > 備份已啟用

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-backup-retention-check.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  最短備份保留期間，以天為單位  |  Integer  |  `7` 至 `35`  |  `7`  | 

此控制項會檢查 Neptune 資料庫叢集是否已啟用自動備份，以及大於或等於指定時間範圍的備份保留期間。如果未為 Neptune 資料庫叢集啟用備份，或保留期間小於指定的時間範圍，則控制項會失敗。除非您提供備份保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 7 天。

備份可協助您更快速地從安全事件中復原，並強化系統的彈性。透過自動化 Neptune 資料庫叢集的備份，您可以將系統還原到某個時間點，並將停機時間和資料遺失降至最低。

### 修補
<a name="neptune-5-remediation"></a>

若要啟用自動備份並設定 Neptune 資料庫叢集的備份保留期，請參閱《*Amazon RDS 使用者指南*》中的[啟用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)。針對**備份保留期間**，選擇大於或等於 7 的值。

## 【Neptune.6】 Neptune 資料庫叢集快照應靜態加密
<a name="neptune-6"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(18)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBClusterSnapshot`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-snapshot-encrypted.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Neptune 資料庫叢集快照是否靜態加密。如果 Neptune 資料庫叢集未靜態加密，則控制項會失敗。

靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性，降低未經授權的使用者存取資料的風險。Neptune 資料庫叢集快照中的資料應靜態加密，以增加一層安全性。

### 修補
<a name="neptune-6-remediation"></a>

您無法加密現有的 Neptune 資料庫叢集快照。反之，您必須將快照還原至新的資料庫叢集，並在叢集上啟用加密。您可以從加密叢集建立加密快照。如需說明，請參閱《Neptune 使用者指南》中的[從資料庫叢集快照還原](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-restore-snapshot.html)和在 Neptune 中建立資料庫叢集快照。 [https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html](https://docs.aws.amazon.com/neptune/latest/userguide/backup-restore-create-snapshot.html) **

## 【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證
<a name="neptune-7"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-iam-database-authentication.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Neptune 資料庫叢集是否已啟用 IAM 資料庫身分驗證。如果未針對 Neptune 資料庫叢集啟用 IAM 資料庫身分驗證，則控制項會失敗。

Amazon Neptune 資料庫叢集的 IAM 資料庫身分驗證不需要將使用者登入資料存放在資料庫組態中，因為身分驗證是使用 IAM 進行外部管理。啟用 IAM 資料庫身分驗證時，每個請求都需要使用 AWS Signature 第 4 版進行簽署。

### 修補
<a name="neptune-7-remediation"></a>

根據預設，IAM 資料庫身分驗證會在您建立 Neptune 資料庫叢集時停用。若要啟用它，請參閱《[Neptune 使用者指南》中的在 Neptune 中啟用 IAM 資料庫身分驗證](https://docs.aws.amazon.com/neptune/latest/userguide/iam-auth-enable.html)。 **

## 【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照
<a name="neptune-8"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-copy-tags-to-snapshot-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Neptune 資料庫叢集是否設定為在建立快照時將所有標籤複製到快照。如果 Neptune 資料庫叢集未設定為將標籤複製到快照，則控制項會失敗。

識別和清查您的 IT 資產是控管和安全性的重要層面。您應該以與其父 Amazon RDS 資料庫叢集相同的方式標記快照。複製標籤可確保資料庫快照的中繼資料符合父資料庫叢集的中繼資料，而且資料庫快照的存取政策也符合父資料庫執行個體的中繼資料。

### 修補
<a name="neptune-8-remediation"></a>

若要將標籤複製到 Neptune 資料庫叢集的快照，請參閱[《Neptune 使用者指南》中的在 Neptune 中複製標籤](https://docs.aws.amazon.com/neptune/latest/userguide/tagging.html#tagging-overview)。 **

## 【Neptune.9】 Neptune 資料庫叢集應部署在多個可用區域
<a name="neptune-9"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/neptune-cluster-multi-az-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon Neptune 資料庫叢集在多個可用區域 (AZs) 中是否有僅供讀取複本執行個體。如果叢集僅部署在一個 AZ 中，則控制項會失敗。

如果 AZ 無法使用，且在定期維護事件期間，僅供讀取複本會做為主要執行個體的容錯移轉目標。亦即，如果主要執行個體失敗，則 Neptune 會提升僅供讀取複本以成為主要執行個體。相反地，如果您的資料庫叢集不包含任何僅供讀取複本執行個體，則當主要執行個體失敗時，資料庫叢集仍無法使用，直到重新建立為止。重新建立主要執行個體所花費的時間比提升僅供讀取複本要長得多。為了確保高可用性，我們建議您建立一或多個僅供讀取複本執行個體，其資料庫執行個體類別與主要執行個體相同，且位於與主要執行個體不同的 AZs 中。

### 修補
<a name="neptune-9-remediation"></a>

若要在多個 AZs 中部署 Neptune 資料庫叢集，請參閱《Neptune *使用者指南*》[中的 Neptune 資料庫叢集中的僅供讀取複本資料庫執行個體](https://docs.aws.amazon.com/neptune/latest/userguide/feature-overview-db-clusters.html#feature-overview-read-replicas)。

# 的 Security Hub CSPM 控制項 AWS Network Firewall
<a name="networkfirewall-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Network Firewall 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域
<a name="networkfirewall-1"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::Firewall`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會評估透過 AWS Network Firewall 管理的防火牆是否跨多個可用區域 (AZs) 部署。如果防火牆僅部署在一個可用區域中，則控制項會失敗。

AWS 全球基礎設施包含多個 AWS 區域。AZs區域是每個區域內以低延遲、高輸送量和高備援聯網連接的實際隔離位置。透過在多個可用AZs部署 Network Firewall 防火牆，您可以在AZs之間平衡和轉移流量，這可協助您設計高可用性的解決方案。

### 修補
<a name="networkfirewall-1-remediation"></a>

**在多個AZs部署 Network Firewall 防火牆**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格**的網路防火牆**下，選擇**防火牆**。

1. 在**防火牆**頁面上，選取要編輯的防火牆。

1. 在防火牆詳細資訊頁面上，選擇**防火牆詳細資訊**索引標籤。

1. 在**關聯的政策和 VPC** 區段中，選擇**編輯**

1. 若要新增可用區域，請選擇**新增子網路**。選取您要使用的 AZ 和子網路。請確定您至少選取兩個 AZs。

1. 選擇**儲存**。

## 【NetworkFirewall.2] 應啟用網路防火牆記錄
<a name="networkfirewall-2"></a>

**相關要求：**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7 3.1.20

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::LoggingConfiguration`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已為 AWS Network Firewall 防火牆啟用記錄。如果未針對至少一個日誌類型啟用記錄，或記錄目的地不存在，則控制項會失敗。

記錄可協助您維護防火牆的可靠性、可用性和效能。在 Network Firewall 中，記錄可提供網路流量的詳細資訊，包括具狀態引擎收到封包流程的時間、封包流程的詳細資訊，以及針對封包流程採取的任何具狀態規則動作。

### 修補
<a name="networkfirewall-2-remediation"></a>

若要啟用防火牆的記錄，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆的記錄組態](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html)。

## 【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組
<a name="networkfirewall-3"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.13.1

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Network Firewall 政策是否有任何相關聯的具狀態或無狀態規則群組。如果未指派無狀態或有狀態規則群組，則控制項會失敗。

防火牆政策會定義防火牆如何監控和處理 Amazon Virtual Private Cloud (Amazon VPC) 中的流量。無狀態和有狀態規則群組的組態有助於篩選封包和流量流程，並定義預設流量處理。

### 修補
<a name="networkfirewall-3-remediation"></a>

若要將規則群組新增至網路防火牆政策，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。如需建立和管理規則群組的資訊，請參閱 [中的規則群組 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。

## 【NetworkFirewall.4] Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包
<a name="networkfirewall-4"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)

**排程類型：**已觸發變更

**參數：**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` （不可自訂）

此控制項會檢查網路防火牆政策完整封包的預設無狀態動作是捨棄還是轉送。如果選取 `Drop`或 `Forward` ，則控制項會通過，如果選取 `Pass` ，則 會失敗。

防火牆政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為 `Pass`可允許意外流量。

### 修補
<a name="networkfirewall-4-remediation"></a>

若要變更防火牆政策，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。針對**無狀態預設動作**，選擇**編輯**。然後，選擇**捨**棄或**轉送至具狀態規則群組**作為**動作**。

## 【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包
<a name="networkfirewall-5"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.13.6

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)

**排程類型：**已觸發變更

**參數：**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` （不可自訂）

此控制項會檢查網路防火牆政策片段封包的預設無狀態動作是捨棄還是轉送。如果選取 `Drop`或 `Forward` ，則控制項會通過，如果選取 `Pass` ，則 會失敗。

防火牆政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為 `Pass`可允許意外流量。

### 修補
<a name="networkfirewall-5-remediation"></a>

若要變更防火牆政策，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。針對**無狀態預設動作**，選擇**編輯**。然後，選擇**捨**棄或**轉送至具狀態規則群組**作為**動作**。

## 【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空
<a name="networkfirewall-6"></a>

**相關需求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::RuleGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 中的無狀態規則群組是否 AWS Network Firewall 包含規則。如果規則群組中沒有規則，則控制項會失敗。

規則群組包含定義防火牆如何處理 VPC 中流量的規則。當防火牆政策中有空的無狀態規則群組時，可能會給人留下規則群組將處理流量的印象。不過，當無狀態規則群組為空時，不會處理流量。

### 修補
<a name="networkfirewall-6-remediation"></a>

若要將規則新增至 Network Firewall 規則群組，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新具狀態規則群組](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html)。在防火牆詳細資訊頁面上，針對**無狀態規則群組**，選擇**編輯**以新增規則。

## 【NetworkFirewall.7] 應標記網路防火牆
<a name="networkfirewall-7"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::NetworkFirewall::Firewall`

**AWS Config rule：**`tagged-networkfirewall-firewall`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Network Firewall 防火牆是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果防火牆沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果防火牆未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="networkfirewall-7-remediation"></a>

若要將標籤新增至 Network Firewall 防火牆，請參閱《 *AWS Network Firewall 開發人員指南*》中的[標記 AWS Network Firewall 資源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。

## 【NetworkFirewall.8] 應標記網路防火牆防火牆政策
<a name="networkfirewall-8"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::NetworkFirewall::FirewallPolicy`

**AWS Config rule：**`tagged-networkfirewall-firewallpolicy`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Network Firewall 防火牆政策是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果防火牆政策沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果防火牆政策未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="networkfirewall-8-remediation"></a>

若要將標籤新增至 Network Firewall 政策，請參閱《 *AWS Network Firewall 開發人員指南*》中的[標記 AWS Network Firewall 資源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。

## 【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護
<a name="networkfirewall-9"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 網路安全

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::Firewall`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 AWS Network Firewall 防火牆是否已啟用刪除保護。如果防火牆未啟用刪除保護，則控制項會失敗。

AWS Network Firewall 是一種具狀態的受管網路防火牆和入侵偵測服務，可讓您檢查和篩選進出虛擬私有雲端 (VPCs) 的流量。刪除保護設定可防止意外刪除防火牆。

### 修補
<a name="networkfirewall-9-remediation"></a>

若要在現有的 Network Firewall 防火牆上啟用刪除保護，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。針對**變更保護**，選取**啟用**。您也可以叫用 [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html) API 並將 `DeleteProtection` 欄位設定為 ，以啟用刪除保護`true`。

## 【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護
<a name="networkfirewall-10"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 網路安全

**嚴重性：**中

**資源類型：** `AWS::NetworkFirewall::Firewall`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已啟用防火牆的 AWS Network Firewall 子網路變更保護。如果防火牆未啟用子網路變更保護，則控制項會失敗。

AWS Network Firewall 是一項具狀態的受管網路防火牆和入侵偵測服務，可用來檢查和篩選進出虛擬私有雲端 (VPCs) 的流量。如果您啟用 Network Firewall 防火牆的子網路變更保護，您可以保護防火牆免於意外變更防火牆的子網路關聯。

### 修補
<a name="networkfirewall-10-remediation"></a>

如需有關啟用現有 Network Firewall 防火牆子網路變更保護的資訊，請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。

# Amazon OpenSearch Service 的 Security Hub CSPM 控制項
<a name="opensearch-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon OpenSearch Service (OpenSearch Service) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Opensearch.1】 OpenSearch 網域應該啟用靜態加密
<a name="opensearch-1"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.80-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 OpenSearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密，則檢查會失敗。

為了為敏感資料增加一層安全性，您應該將 OpenSearch Service 網域設定為靜態加密。當您設定靜態資料的加密時， 會 AWS KMS 儲存並管理您的加密金鑰。若要執行加密， AWS KMS 會使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。

若要進一步了解 OpenSearch Service 靜態加密，請參閱《[Amazon OpenSearch Service 開發人員指南》中的 Amazon OpenSearch Service 靜態資料加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html)。 * OpenSearch * **

### 修補
<a name="opensearch-1-remediation"></a>

若要為新的和現有的 OpenSearch 網域啟用靜態加密，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用靜態資料加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear)。

## 【Opensearch.2】 不應公開存取 OpenSearch 網域
<a name="opensearch-2"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-40-53.r50 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態 > VPC 內的資源

**嚴重性：**嚴重

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 OpenSearch 網域是否位於 VPC 中。它不會評估 VPC 子網路路由組態來判斷公有存取。

您應該確保 OpenSearch 網域未連接到公有子網路。請參閱《Amazon OpenSearch Service 開發人員指南》中的[資源型政策](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource)。您也應該確保您的 VPC 已根據建議的最佳實務進行設定。請參閱《Amazon [VPC 使用者指南》中的 VPC 的安全最佳實務](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。

在 VPC 內部署的 OpenSearch 網域可以透過私有 AWS 網路與 VPC 資源通訊，而不需要周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制，以安全存取 OpenSearch 網域，包括網路 ACL 和安全群組。Security Hub 建議您將公有 OpenSearch 網域遷移至 VPCs，以利用這些控制項。

### 修補
<a name="opensearch-2-remediation"></a>

如果您建立了具備公有端點的網域，您稍後便無法將其置放於 VPC 內。反之，您必須建立新網域並遷移您的資料。反之亦然。如果您在 VPC 中建立了網域，該網域便無法擁有公有端點。您必須改為[建立另一個網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html#es-createdomains)或停用此控制項。

如需說明，請參閱《[Amazon OpenSearch Service 開發人員指南》中的在 VPC 中啟動 Amazon OpenSearch Service 網域](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html)。 * OpenSearch *

## 【Opensearch.3】 OpenSearch 網域應該加密節點之間傳送的資料
<a name="opensearch-3"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-node-to-node-encryption-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 OpenSearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密，此控制會失敗。

HTTPS (TLS) 可用來協助防止潛在攻擊者竊聽或使用person-in-the-middle或類似攻擊操縱網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 OpenSearch 網域的node-to-node加密，可確保叢集內通訊在傳輸中加密。

與此組態相關聯的效能可能會受到懲罰。在啟用此選項之前，您應該注意並測試效能權衡。

### 修補
<a name="opensearch-3-remediation"></a>

若要在 OpenSearch 網域上啟用node-to-node加密，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用node-to-node加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn)。

## 【Opensearch.4】 應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄
<a name="opensearch-4"></a>

**相關需求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html)

**排程類型：**已觸發變更

**參數：**
+ `logtype = 'error'` （不可自訂）

此控制項會檢查 OpenSearch 網域是否設定為將錯誤日誌傳送至 CloudWatch Logs。如果未針對網域啟用 CloudWatch 的錯誤記錄，則此控制項會失敗。

您應該啟用 OpenSearch 網域的錯誤日誌，並將這些日誌傳送至 CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核，也可協助診斷可用性問題。

### 修補
<a name="opensearch-4-remediation"></a>

若要啟用日誌發佈，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用日誌發佈 （主控台）](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console)。

## 【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄
<a name="opensearch-5"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-audit-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**
+ `cloudWatchLogsLogGroupArnList` （不可自訂） – Security Hub CSPM 不會填入此參數。應為稽核日誌設定的 CloudWatch Logs 日誌群組逗號分隔清單。

此控制項會檢查 OpenSearch 網域是否已啟用稽核記錄。如果 OpenSearch 網域未啟用稽核記錄，則此控制項會失敗。

稽核日誌可高度自訂。它們可讓您追蹤 OpenSearch 叢集上的使用者活動，包括身分驗證成功和失敗、對 OpenSearch 的請求、索引變更，以及傳入的搜尋查詢。

### 修補
<a name="opensearch-5-remediation"></a>

如需啟用稽核日誌的指示，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟用稽核日誌](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling)。

## 【Opensearch.6】 OpenSearch 網域應至少具有三個資料節點
<a name="opensearch-6"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 OpenSearch 網域是否已設定至少三個資料節點，且`zoneAwarenessEnabled`為 `true`。如果 小於 3 或 `instanceCount` `zoneAwarenessEnabled`為 ，則 OpenSearch 網域的此控制項會失敗`false`。

為了實現叢集層級的高可用性和容錯能力，OpenSearch 網域應至少具有三個資料節點。部署具有至少三個資料節點的 OpenSearch 網域可確保在節點失敗時執行叢集操作。

### 修補
<a name="opensearch-6-remediation"></a>

**修改 OpenSearch 網域中的資料節點數量**

1. 登入 AWS 主控台，並在 [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/)：// 開啟 Amazon OpenSearch Service 主控台。

1. 在**我的網域**下，選擇要編輯的網域名稱，然後選擇**編輯**。

1. 在**資料節點**下，將**節點數量**設定為大於 的數字`3`。如果您要部署到三個可用區域，請將數字設定為三個的倍數，以確保可用區域之間的分佈相等。

1. 選擇**提交**。

## 【Opensearch.7】 OpenSearch 網域應啟用精細存取控制
<a name="opensearch-7"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理 > 敏感 API 動作受限

**嚴重性：**高

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-access-control-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 OpenSearch 網域是否已啟用精細存取控制。如果未啟用精細存取控制，則控制項會失敗。精細存取控制需要在 OpenSearch 參數`advanced-security-options`中`update-domain-config`啟用。

精細存取控制可提供額外的方式，以控制在 Amazon OpenSearch Service 上對資料的存取。

### 修補
<a name="opensearch-7-remediation"></a>

若要啟用精細存取控制，請參閱《[Amazon OpenSearch Service 開發人員指南》中的 Amazon OpenSearch Service 精細存取控制](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html)。 * OpenSearch *

## 【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線
<a name="opensearch-8"></a>

**相關要求：**NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NISTNIST.800-53.r5 SC-85.r5 SI-7

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-https-required.html)

**排程類型：**已觸發變更

**參數：**
+ `tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10` （不可自訂）

此控制項會檢查 Amazon OpenSearch Service 網域端點是否設定為使用最新的 TLS 安全政策。如果 OpenSearch 網域端點未設定為使用最新支援的政策，或未啟用 HTTPs，則控制項會失敗。

HTTPS (TLS) 可用來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。加密傳輸中的資料可能會影響效能。您應該使用此功能測試應用程式，以了解效能描述檔和 TLS 的影響。TLS 1.2 提供相較於舊版 TLS 的數個安全性增強功能。

### 修補
<a name="opensearch-8-remediation"></a>

若要啟用 TLS 加密，請使用 [UpdateDomainConfig](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html) API 操作。設定 [DomainEndpointOptions](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html) 欄位以指定 的值`TLSSecurityPolicy`。如需詳細資訊，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[Node-to-node加密](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html)。

## 【Opensearch.9】 應標記 OpenSearch 網域
<a name="opensearch-9"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config rule：**`tagged-opensearch-domain`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon OpenSearch Service 網域是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果網域沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果網域未標記任何索引鍵，則失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="opensearch-9-remediation"></a>

若要將標籤新增至 OpenSearch Service 網域，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[使用標籤](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console)。

## 【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新
<a name="opensearch-10"></a>

**相關要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-update-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon OpenSearch Service 網域是否已安裝最新的軟體更新。如果有可用的軟體更新，但未為網域安裝軟體更新，則控制項會失敗。

OpenSearch Service 軟體更新提供適用於環境的最新平台修正、更新和功能。使用修補程式安裝up-to-date有助於維持網域安全性和可用性。如果未對所需的更新採取任何動作，服務軟體會自動更新 （通常在 2 週後）。我們建議在低流量到網域期間排程更新，以將服務中斷降至最低。

### 修補
<a name="opensearch-10-remediation"></a>

若要安裝 OpenSearch 網域的軟體更新，請參閱《*Amazon OpenSearch Service 開發人員指南*》中的[啟動更新](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/service-software.html#service-software-requesting)。

## 【Opensearch.11】 OpenSearch 網域應至少具有三個專用主節點
<a name="opensearch-11"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SI-13

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**低

**資源類型：** `AWS::OpenSearch::Domain`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-primary-node-fault-tolerance.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon OpenSearch Service 網域是否已設定至少三個專用主節點。如果網域的專用主節點少於三個，則控制項會失敗。

OpenSearch Service 使用專用主節點來提高叢集穩定性。專用主節點會執行叢集管理任務，但不會保留資料或回應資料上傳請求。我們建議您將多可用區與待命搭配使用，這會為每個生產 OpenSearch 網域新增三個專用主節點。

### 修補
<a name="opensearch-11-remediation"></a>

若要變更 OpenSearch 網域的主要節點數量，請參閱《[Amazon OpenSearch Service 開發人員指南》中的建立和管理](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) *Amazon OpenSearch Service* 網域。

# 的 Security Hub CSPM 控制項 AWS 私有 CA
<a name="pca-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS 私有憑證授權單位 (AWS 私有 CA) 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【PCA.1】應停用 AWS 私有 CA 根憑證授權單位
<a name="pca-1"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**低

**資源類型：** `AWS::ACMPCA::CertificateAuthority`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html](https://docs.aws.amazon.com/config/latest/developerguide/acm-pca-root-ca-disabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS 私有 CA 是否有已停用的根憑證授權機構 (CA)。如果啟用根 CA，則控制項會失敗。

您可以使用 AWS 私有 CA建立包含根 CA 和次級 CA CAs階層。您應該盡量減少將根 CA 用於日常任務，尤其是在生產環境中。根 CA 應僅用於為中繼 CAs發行憑證。這可以讓您透過不會造成損害的方式存放根 CA，並讓中繼 CA 執行發行終端實體憑證的日常任務。

### 修補
<a name="pca-1-remediation"></a>

若要停用根 CA，請參閱*AWS 私有憑證授權單位 《 使用者指南*》中的[更新 CA 狀態](https://docs.aws.amazon.com/privateca/latest/userguide/console-update.html#console-update-status-steps)。

## 【PCA.2】應標記 AWS 私有 CA 憑證授權單位
<a name="pca-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::ACMPCA::CertificateAuthority`

**AWS Config 規則：**`acmpca-certificate-authority-tagged`

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredKeyTags  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  無預設值  | 

此控制項會檢查 AWS 私有 CA 憑證授權機構是否具有具有參數 中定義之特定金鑰的標籤`requiredKeyTags`。如果憑證授權機構沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredKeyTags`。如果`requiredKeyTags`未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果憑證授權單位未標記任何金鑰，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱*《標記 AWS 資源和標籤編輯器使用者指南》中的*[最佳實務和策略](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。

### 修補
<a name="pca-2-remediation"></a>

若要將標籤新增至 AWS 私有 CA 授權機構，請參閱*AWS 私有憑證授權單位 《 使用者指南*》中的[為您的私有 CA 新增標籤](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。

# Amazon RDS 的 Security Hub CSPM 控制項
<a name="rds-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Relational Database Service (Amazon RDS) 和 Amazon RDS 資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【RDS.1】 RDS 快照應為私有
<a name="rds-1"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4-4(21)、NIST.800-53.r5 AC-60 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：**`AWS::RDS::DBClusterSnapshot`、 `AWS::RDS::DBSnapshot`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS 快照是否為公有。如果 RDS 快照為公有，則控制項會失敗。此控制項會評估 RDS 執行個體、Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集。

RDS 快照會用來備份特定時間點您 RDS 執行個體上的資料。快照可以用來還原 RDS 執行個體先前的狀態。

除非預期，否則 RDS 快照不應處於公有狀態。如果您將未加密的手動快照共用為公有，這會使快照可供所有人使用 AWS 帳戶。這可能會導致意外公開您 RDS 執行個體的資料。

請注意，如果組態變更為允許公開存取，則 AWS Config 規則可能無法偵測變更長達 12 小時。在 AWS Config 規則偵測到變更之前，即使組態違反規則，檢查仍會通過。

若要進一步了解共用資料庫快照，請參閱《*Amazon RDS 使用者指南*》中的[共用資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。

### 修補
<a name="rds-1-remediation"></a>

若要從 RDS 快照移除公有存取權，請參閱[《Amazon RDS 使用者指南》中的共用快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing)。 **對於**資料庫快照可見性**，我們選擇**私有**。

## 【RDS.2】 RDS 資料庫執行個體應禁止公開存取，由 PubliclyAccessible 組態決定
<a name="rds-2"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.2.3、CIS AWS Foundations Benchmark v3.0.0/2.3.3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-75。

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會評估執行個體組態項目中的 `PubliclyAccessible` 欄位，以檢查 Amazon RDS 執行個體是否可公開存取。

Neptune 資料庫執行個體和 Amazon DocumentDB 叢集沒有 `PubliclyAccessible`旗標，且無法評估。不過，此控制項仍然可以產生這些資源的問題清單。您可以隱藏這些調查結果。

RDS 執行個體組態中的 `PubliclyAccessible` 值會指出資料庫執行個體是否可以公開存取。將資料庫執行個體設為 `PubliclyAccessible` 時，其為具有可公開解析 DNS 名稱的面向網際網路執行個體，且此名稱可解析為公有 IP 地址。當無法公開存取資料庫執行個體時，其為具備解析為私有 IP 地址 DNS 名稱的內部執行個體。

除非您打算公開存取 RDS 執行個體，否則不應使用 `PubliclyAccessible`值設定 RDS 執行個體。這樣做可能會允許不必要的流量流向資料庫執行個體。

### 修補
<a name="rds-2-remediation"></a>

若要從 RDS 資料庫執行個體移除公有存取權，請參閱《[Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。 **針對**公開存取**，選擇**否**。

## [RDS.3] RDS 資料庫執行個體應啟用靜態加密
<a name="rds-3"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.2.1、CIS AWS Foundations Benchmark v3.0.0/2.3.1、CIS AWS Foundations Benchmark v1.4.0/2.3.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-5.r5SI-7

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查您的 Amazon RDS 資料庫執行個體是否已啟用儲存加密。

此控制項適用於 RDS 資料庫執行個體。不過，它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集的問題清單。如果這些問題清單沒有用，您可以加以隱藏。

如需為您在 RDS 資料庫執行個體中的敏感資料新增多一層安全，建議您設定 RDS 資料庫執行個體進行靜態加密。如要加密您的 RDS 資料庫執行個體和靜態快照，請為您的 RDS 資料庫執行個體啟用加密選項。靜態加密的資料包括資料庫執行個體的基礎儲存體、其自動化備份、僅供讀取複本，以及快照。

RDS 加密資料庫執行個體會使用開放標準 AES-256 加密演算法，來加密託管 RDS 資料庫執行個體伺服器上的資料。加密資料後，Amazon RDS 會以透明的方式處理資料的存取和解密身分驗證，且對效能的影響最小。您不需要修改資料庫用戶端應用程式即可使用加密。

Amazon RDS 加密目前適用於所有資料庫引擎和儲存類型。大多數資料庫執行個體類別可以使用 Amazon RDS 加密。若要了解不支援 Amazon RDS 加密的資料庫執行個體類別，請參閱《[Amazon RDS 使用者指南》中的加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。 **

### 修補
<a name="rds-3-remediation"></a>

如需有關在 Amazon RDS 中加密資料庫執行個體的資訊，請參閱《[Amazon RDS 使用者指南》中的加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。 **

## 【RDS.4】 RDS 叢集快照和資料庫快照應靜態加密
<a name="rds-4"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：**`AWS::RDS::DBClusterSnapshot`、` AWS::RDS::DBSnapshot`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 RDS 資料庫快照是否已加密。如果未加密 RDS 資料庫快照，則控制項會失敗。

此控制項適用於 RDS 資料庫執行個體。不過，它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集快照的問題清單。如果這些問題清單沒有用，您可以加以隱藏。

加密靜態資料可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。RDS 快照中的資料應靜態加密，以增加一層安全性。

### 修補
<a name="rds-4-remediation"></a>

若要加密 RDS 快照，請參閱《[Amazon RDS 使用者指南》中的加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)。 **當您加密 RDS 資料庫執行個體時，加密的資料會包含執行個體的基礎儲存體、其自動備份、僅供讀取複本和快照。

您只能在建立 RDS 資料庫執行個體時加密它，而不是在建立資料庫執行個體之後。不過，因為您可以加密未加密快照的副本，所以可以有效地將加密新增至未加密的資料庫執行個體。亦即，您可以建立資料庫執行個體的快照，然後建立該快照的加密副本。接著，從加密快照中還原資料庫執行個體，因此您有原始資料庫執行個體的加密副本。

## 【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域
<a name="rds-5"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.2.4、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查您的 RDS 資料庫執行個體是否已啟用高可用性。如果 RDS 資料庫執行個體未設定多個可用區域 (AZs)，則控制項會失敗。此控制項不適用於屬於多可用區域資料庫叢集部署的 RDS 資料庫執行個體。

使用 AZs 設定 Amazon RDS 資料庫執行個體有助於確保儲存資料的可用性。如果 AZ 可用性和定期 RDS 維護期間發生問題，多可用區域部署允許自動容錯移轉。

### 修補
<a name="rds-5-remediation"></a>

若要在多個 AZs 中部署資料庫執行個體，請在 *Amazon RDS 使用者指南*中[將資料庫執行個體修改為多可用區域資料庫執行個體部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating)。

## 【RDS.6】 應為 RDS 資料庫執行個體設定增強型監控
<a name="rds-6"></a>

**相關需求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `monitoringInterval`  |  監控指標收集間隔之間的秒數  |  列舉  |  `1`, `5`, `10`, `15`, `30`, `60`  |  無預設值  | 

此控制項會檢查是否已為 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體啟用增強型監控。如果未為執行個體啟用增強型監控，則控制項會失敗。如果您為 `monitoringInterval` 參數提供自訂值，只有在指定間隔為執行個體收集增強型監控指標時，控制項才會通過。

在 Amazon RDS 中，增強型監控可更快速回應基礎基礎設施的效能變更。這些效能變更可能會導致資料無法使用。增強型監控提供 RDS 資料庫執行個體執行所在的作業系統的即時指標。代理程式安裝在執行個體上。代理程式可以比 Hypervisor layer 更準確地取得指標。

如果您想查看資料庫執行個體上不同的程序或執行緒如何使用 CPU，增強型監控指標可以派上用場。如需詳細資訊，請參閱 *Amazon RDS User Guide* (《Amazon RDS 使用者指南》) 中的 [Enhanced Monitoring](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) (增強型監控)。

### 修補
<a name="rds-6-remediation"></a>

如需為資料庫執行個體啟用增強型監控的詳細說明，請參閱《*Amazon RDS 使用者指南*》中的[設定 和啟用增強型監控](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.Enabling)。

## 【RDS.7】 RDS 叢集應該啟用刪除保護
<a name="rds-7"></a>

**相關要求：**NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 RDS 資料庫叢集是否已啟用刪除保護。如果 RDS 資料庫叢集未啟用刪除保護，則控制項會失敗。

此控制項適用於 RDS 資料庫執行個體。不過，它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集的問題清單。如果這些問題清單沒有用，您可以加以隱藏。

啟用叢集刪除保護是防止未經授權的實體意外刪除或刪除資料庫的額外保護層。

啟用刪除保護時，無法刪除 RDS 叢集。刪除請求成功之前，必須先停用刪除保護。

### 修補
<a name="rds-7-remediation"></a>

若要啟用 RDS 資料庫叢集的刪除保護，請參閱《*Amazon RDS 使用者指南*》中的[使用主控台、CLI 和 API 修改資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster)。針對**刪除保護**，選擇**啟用刪除保護**。

## 【RDS.8】 RDS 資料庫執行個體應啟用刪除保護
<a name="rds-8"></a>

**相關需求：**NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**低

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html)

**排程類型：**變更已觸發

**參數：**
+ `databaseEngines`：`mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web`（不可自訂）

此控制項會檢查使用其中一個所列資料庫引擎的 RDS 資料庫執行個體是否已啟用刪除保護。如果 RDS 資料庫執行個體未啟用刪除保護，則控制項會失敗。

啟用執行個體刪除保護是防止未經授權的實體意外刪除或刪除資料庫的額外保護層。

啟用刪除保護時，無法刪除 RDS 資料庫執行個體。刪除請求成功之前，必須先停用刪除保護。

### 修補
<a name="rds-8-remediation"></a>

若要啟用 RDS 資料庫執行個體的刪除保護，請參閱《[Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。 **針對**刪除保護**，選擇**啟用刪除保護**。

## 【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs
<a name="rds-9"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS 資料庫執行個體是否已設定為將下列日誌發佈至 Amazon CloudWatch Logs。如果執行個體未設定為將下列日誌發佈至 CloudWatch Logs，則控制項會失敗：
+ Oracle：警示、稽核、追蹤、接聽程式
+ PostgreSQL：Postgresql、升級
+ MySQL：稽核、錯誤、一般、SlowQuery
+ MariaDB：稽核、錯誤、一般、SlowQuery
+ SQL Server：錯誤、代理程式
+ Aurora：稽核、錯誤、一般、SlowQuery
+ Aurora-MySQL：稽核、錯誤、一般、SlowQuery
+ Aurora-PostgreSQL：Postgresql

RDS 資料庫應該啟用相關日誌。資料庫記錄提供對 RDS 提出之請求的詳細記錄。資料庫日誌可協助安全性和存取稽核，並有助於診斷可用性問題。

### 修補
<a name="rds-9-remediation"></a>

如需將 RDS 資料庫日誌發佈至 CloudWatch Logs 的資訊，請參閱《*Amazon RDS 使用者指南*》中的[指定要發佈至 CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Procedural.UploadtoCloudWatch.html#integrating_cloudwatchlogs.configure) 的日誌。

## 【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證
<a name="rds-10"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 RDS 資料庫執行個體是否已啟用 IAM 資料庫身分驗證。如果未針對 RDS 資料庫執行個體設定 IAM 身分驗證，則控制項會失敗。此控制項只會評估具有下列引擎類型的 RDS `aurora`執行個體：`mysql`、`postgres`、`aurora-mysql`、、 `aurora-postgresql`和 `mariadb`。RDS 執行個體也必須處於下列其中一種狀態，才能產生問題清單：`available`、`storage-optimization`、 `backing-up`或 `storage-full`。

IAM 資料庫身分驗證允許使用身分驗證字符而非密碼對資料庫執行個體進行身分驗證。進出資料庫的網路流量會使用 SSL 加密。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》**中的 [IAM 資料庫身分驗證](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)。

### 修補
<a name="rds-10-remediation"></a>

若要在 RDS 資料庫執行個體上啟用 IAM 資料庫身分驗證，請參閱《*Amazon RDS 使用者指南*》中的[啟用和停用 IAM 資料庫身分驗證](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html)。

## 【RDS.11】 RDS 執行個體應該啟用自動備份
<a name="rds-11"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 恢復 > 備份已啟用 

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `backupRetentionMinimum`  |  最短備份保留期間，以天為單位  |  Integer  |  `7` 至 `35`  |  `7`  | 
|  `checkReadReplicas`  |  檢查 RDS 資料庫執行個體是否已啟用僅供讀取複本的備份  |  Boolean  |  無法自訂  |  `false`  | 

此控制項會檢查 Amazon Relational Database Service 執行個體是否已啟用自動備份，以及大於或等於指定時間範圍的備份保留期間。僅供讀取複本會從評估中排除。如果未為執行個體啟用備份，或保留期間小於指定的時間範圍，則控制項會失敗。除非您提供備份保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 7 天。

備份可協助您更快速地從安全事件中復原，並強化系統的彈性。Amazon RDS 可讓您設定每日完整執行個體磁碟區快照。如需 Amazon RDS 自動化備份的詳細資訊，請參閱《*Amazon RDS 使用者指南*》中的[使用備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html)。

### 修補
<a name="rds-11-remediation"></a>

若要在 RDS 資料庫執行個體上啟用自動備份，請參閱《*Amazon RDS 使用者指南*》中的[啟用自動備份](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.html#USER_WorkingWithAutomatedBackups.Enabling)。

## 【RDS.12】 應為 RDS 叢集設定 IAM 身分驗證
<a name="rds-12"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取管理 > 無密碼身分驗證

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS 資料庫叢集是否已啟用 IAM 資料庫身分驗證。

IAM 資料庫身分驗證允許對資料庫執行個體進行無密碼身分驗證。身分驗證使用身分驗證字符。進出資料庫的網路流量會使用 SSL 加密。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》**中的 [IAM 資料庫身分驗證](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html)。

### 修補
<a name="rds-12-remediation"></a>

若要啟用資料庫叢集的 IAM 身分驗證，請參閱《*Amazon Aurora 使用者指南*》中的[啟用和停用 IAM 資料庫身分驗證](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.Enabling.html)。

## 【RDS.13】 應啟用 RDS 自動次要版本升級
<a name="rds-13"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.2.2、CIS AWS Foundations Benchmark v3.0.0/2.3.2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**高

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查是否已為 RDS 資料庫執行個體啟用自動次要版本升級。

自動次要版本升級會定期將資料庫更新為最新的資料庫引擎版本。不過，升級不一定包含最新的資料庫引擎版本。如果您需要在特定時間將資料庫維持在特定版本上，建議您根據所需的排程手動升級至所需的資料庫版本。如果發生重大安全問題或版本達到end-of-support日期時，Amazon RDS 可能會套用次要版本升級，即使您尚未啟用**自動次要版本升級**選項。如需詳細資訊，請參閱特定資料庫引擎的 Amazon RDS 升級文件：
+ [RDS for MariaDB 的自動次要版本升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html)
+ [RDS for MySQL 的自動次要版本升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html)
+ [RDS for PostgreSQL 的自動次要版本升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html)
+ [Amazon RDS 版本的 Db2 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html)
+ [Oracle 次要版本升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html)
+ [Microsoft SQL Server 資料庫引擎的升級](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html)

### 修補
<a name="rds-13-remediation"></a>

若要啟用現有資料庫執行個體的自動次要版本升級，請參閱《[Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。 **對於**自動次要版本升級**，選取**是**。

## 【RDS.14】 Amazon Aurora 叢集應該已啟用恢復
<a name="rds-14"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 恢復 > 備份已啟用 

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `BacktrackWindowInHours`  |  恢復 Aurora MySQL 叢集的時數  |  Double  |  `0.1` 至 `72`  |  無預設值  | 

此控制項會檢查 Amazon Aurora 叢集是否已啟用恢復。如果叢集未啟用恢復，則控制項會失敗。如果您為 `BacktrackWindowInHours` 參數提供自訂值，則只有在叢集恢復指定的時間長度時，控制項才會通過。

備份可協助您更快地從安全事件中復原。它們也會強化您系統的彈性。Aurora 恢復可將資料庫復原至某個時間點的時間縮短。它不需要資料庫還原即可執行此操作。

### 修補
<a name="rds-14-remediation"></a>

若要啟用 Aurora 恢復，請參閱《*Amazon Aurora 使用者指南*》中的[設定恢復](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring)。

請注意，您無法在現有叢集上啟用恢復。反之，您可以建立已啟用恢復的複製。如需 Aurora 恢復限制的詳細資訊，請參閱[恢復概觀](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html)中的限制清單。

## 【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集
<a name="rds-15"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.2.4、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查您的 RDS 資料庫叢集是否已啟用高可用性。如果 RDS 資料庫叢集未部署在多個可用區域 (AZs) 中，則控制項會失敗。

應為多個可用AZs設定 RDS 資料庫叢集，以確保儲存資料的可用性。部署到多個 AZs 允許在發生可用區域可用性問題時以及在一般 RDS 維護事件期間自動容錯移轉。

### 修補
<a name="rds-15-remediation"></a>

若要在多個AZs部署資料庫叢集，請在 *Amazon RDS 使用者指南*中[將資料庫執行個體修改為多可用區域資料庫執行個體部署](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.MultiAZSingleStandby.html#Concepts.MultiAZ.Migrating)。

Aurora 全域資料庫的修復步驟不同。若要設定 Aurora 全域資料庫的多個可用區域，請選取您的資料庫叢集。然後，選擇**動作**和**新增讀取器**，然後指定多個 AZs。如需詳細資訊，請參閱《*Amazon* [Aurora 使用者指南》中的將 Aurora 複本新增至資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-replicas-adding.html)。

## 【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照
<a name="rds-16"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 清查

**嚴重性：**低

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config rule：**`rds-cluster-copy-tags-to-snapshots-enabled`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Aurora 資料庫叢集是否設定為在建立快照時自動將標籤複製到資料庫叢集的快照。如果 Aurora 資料庫叢集未設定為在建立快照時自動將標籤複製到叢集的快照，則控制項會失敗。

IT 資產的識別和清查是控管和安全性的重要層面。您需要擁有所有 Amazon Aurora 資料庫叢集的可見性，才能評估其安全狀態，並對潛在弱點區域採取行動。Aurora 資料庫快照應具有與其父資料庫叢集相同的標籤。在 Amazon Aurora 中，您可以設定資料庫叢集，以自動將叢集的所有標籤複製到叢集的快照。啟用此設定可確保資料庫快照繼承與其父資料庫叢集相同的標籤。

### 修補
<a name="rds-16-remediation"></a>

如需有關設定 Amazon Aurora 資料庫叢集以自動將標籤複製到資料庫快照的資訊，請參閱[《Amazon Aurora 使用者指南》中的修改 Amazon Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html)。 **

## 【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照
<a name="rds-17"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

**類別：**識別 > 清查

**嚴重性：**低

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config rule：**`rds-instance-copy-tags-to-snapshots-enabled`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 RDS 資料庫執行個體是否設定為在建立快照時將所有標籤複製到快照。

IT 資產的識別和清查是控管和安全性的重要層面。您需要擁有所有 RDS 資料庫執行個體的可見性，才能評估其安全性狀態，並對潛在弱點區域採取動作。快照的標記方式應該與其父 RDS 資料庫執行個體相同。啟用此設定可確保快照繼承其父資料庫執行個體的標籤。

### 修補
<a name="rds-17-remediation"></a>

若要自動將標籤複製到 RDS 資料庫執行個體的快照，請參閱《[Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。 **選取**將標籤複製到快照**。

## 【RDS.18】 RDS 執行個體應部署在 VPC 中
<a name="rds-18"></a>

**類別：**保護 > 安全網路組態 > VPC 內的資源 

**嚴重性：**高

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config rule：**`rds-deployed-in-vpc`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon RDS 執行個體是否部署在 EC2-VPC 上。

VPCs 提供多種網路控制，以安全存取 RDS 資源。這些控制項包括 VPC 端點、網路 ACLs 和安全群組。若要利用這些控制項，建議您在 EC2-VPC 上建立 RDS 執行個體。

### 修補
<a name="rds-18-remediation"></a>

如需將 RDS 執行個體移至 VPC 的指示，請參閱《*Amazon RDS 使用者指南*》中的[更新資料庫執行個體的 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.VPC2VPC.html)。

## 【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱
<a name="rds-19"></a>

**相關需求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2

**類別：**偵測 > 偵測服務 > 應用程式監控

**嚴重性：**低

**資源類型：** `AWS::RDS::EventSubscription`

**AWS Config rule：**`rds-cluster-event-notifications-configured`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查資料庫叢集的現有 Amazon RDS 事件訂閱是否已啟用下列來源類型和事件類別索引鍵/值對的通知：

```
DBCluster: ["maintenance","failure"]
```

如果您的帳戶中沒有現有的事件訂閱，則控制項會通過。

RDS 事件通知使用 Amazon SNS，讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的其他資訊，請參閱《[Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。 **

### 修補
<a name="rds-19-remediation"></a>

若要訂閱 RDS 叢集事件通知，請參閱《[Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。 **使用下列的值：


| 欄位 | Value | 
| --- | --- | 
|  Source type (來源類型)  |  叢集  | 
|  要包含的叢集  |  所有叢集  | 
|  要包含的事件類別  |  選取特定事件類別或所有事件類別  | 

## 【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱
<a name="rds-20"></a>

**相關要求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2

**類別：**偵測 > 偵測服務 > 應用程式監控

**嚴重性：**低

**資源類型：** `AWS::RDS::EventSubscription`

**AWS Config rule：**`rds-instance-event-notifications-configured`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查資料庫執行個體的現有 Amazon RDS 事件訂閱是否已啟用下列來源類型和事件類別索引鍵/值對的通知：

```
DBInstance: ["maintenance","configuration change","failure"]
```

如果您的帳戶中沒有現有的事件訂閱，則控制項會通過。

RDS 事件通知使用 Amazon SNS，讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的其他資訊，請參閱《[Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。 **

### 修補
<a name="rds-20-remediation"></a>

若要訂閱 RDS 執行個體事件通知，請參閱《[Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。 **使用下列的值：


| 欄位 | Value | 
| --- | --- | 
|  Source type (來源類型)  |  執行個體  | 
|  要包含的執行個體  |  所有執行個體  | 
|  要包含的事件類別  |  選取特定事件類別或所有事件類別  | 

## 【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱
<a name="rds-21"></a>

**相關要求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2

**類別：**偵測 > 偵測服務 > 應用程式監控

**嚴重性：**低

**資源類型：** `AWS::RDS::EventSubscription`

**AWS Config rule：**`rds-pg-event-notifications-configured`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon RDS 事件訂閱是否存在，並針對下列來源類型事件類別索引鍵/值對啟用通知。如果您的帳戶中沒有現有的事件訂閱，則控制項會通過。

```
DBParameterGroup: ["configuration change"]
```

RDS 事件通知使用 Amazon SNS，讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的其他資訊，請參閱《[Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。 **

### 修補
<a name="rds-21-remediation"></a>

若要訂閱 RDS 資料庫參數群組事件通知，請參閱《[Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。 **使用下列的值：


| 欄位 | Value | 
| --- | --- | 
|  Source type (來源類型)  |  參數群組  | 
|  要包含的參數群組  |  所有參數群組  | 
|  要包含的事件類別  |  選取特定事件類別或所有事件類別  | 

## 【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱
<a name="rds-22"></a>

**相關要求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、PCI DSS v4.0.1/11.5.2

**類別：**偵測 > 偵測服務 > 應用程式監控

**嚴重性：**低

**資源類型：** `AWS::RDS::EventSubscription`

**AWS Config rule：**`rds-sg-event-notifications-configured`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS 事件訂閱是否存在，並針對下列來源類型事件類別索引鍵/值對啟用通知。如果您的帳戶中沒有現有的事件訂閱，則控制項會通過。

```
DBSecurityGroup: ["configuration change","failure"]
```

RDS 事件通知使用 Amazon SNS，讓您了解 RDS 資源可用性或組態的變更。這些通知允許快速回應。如需 RDS 事件通知的其他資訊，請參閱《[Amazon RDS 使用者指南》中的使用 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html)。 **

### 修補
<a name="rds-22-remediation"></a>

若要訂閱 RDS 執行個體事件通知，請參閱《[Amazon RDS 使用者指南》中的訂閱 Amazon RDS 事件通知](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.Subscribing.html)。 **使用下列的值：


| 欄位 | Value | 
| --- | --- | 
|  Source type (來源類型)  |  Security groups (安全群組)  | 
|  要包含的安全群組  |  所有安全群組  | 
|  要包含的事件類別  |  選取特定事件類別或所有事件類別  | 

## 【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠
<a name="rds-23"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

**類別：**保護 > 安全網路組態

**嚴重性：**低

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config rule：**`rds-no-default-ports`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 RDS 叢集或執行個體是否使用資料庫引擎預設連接埠以外的連接埠。如果 RDS 叢集或執行個體使用預設連接埠，則控制項會失敗。此控制項不適用於屬於叢集的 RDS 執行個體。

如果您使用已知連接埠來部署 RDS 叢集或執行個體，攻擊者可以猜測叢集或執行個體的相關資訊。攻擊者可以將此資訊與其他資訊搭配使用，以連線至 RDS 叢集或執行個體，或取得您應用程式的其他資訊。

當您變更連接埠時，也必須更新用來連線至舊連接埠的現有連線字串。您也應該檢查資料庫執行個體的安全群組，以確保它包含允許在新連接埠上連線的輸入規則。

### 修補
<a name="rds-23-remediation"></a>

若要修改現有 RDS 資料庫執行個體的預設連接埠，請參閱《[Amazon RDS 使用者指南》中的修改 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html)。 **若要修改現有 RDS 資料庫叢集的預設連接埠，請參閱《*Amazon Aurora 使用者指南*》中的[使用主控台、CLI 和 API 修改資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Modifying.html#Aurora.Modifying.Cluster)。對於**資料庫連接埠**，將連接埠值變更為非預設值。

## 【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱
<a name="rds-24"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**`[rds-cluster-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-default-admin-check.html)`

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS 資料庫叢集是否已從其預設值變更管理員使用者名稱。控制項不適用於 neptune (Neptune 資料庫） 或 docdb (DocumentDB) 類型的引擎。如果管理員使用者名稱設定為預設值，則此規則會失敗。

建立 Amazon RDS 資料庫時，您應該將預設管理員使用者名稱變更為唯一值。預設使用者名稱是公有知識，應該在 RDS 資料庫建立期間變更。變更預設使用者名稱可降低意外存取的風險。

### 修補
<a name="rds-24-remediation"></a>

若要變更與 Amazon RDS 資料庫叢集相關聯的管理員使用者名稱，[請建立新的 RDS 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.CreateInstance.html)，並在建立資料庫時變更預設的管理員使用者名稱。

## 【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱
<a name="rds-25"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCI DSS v4.0.1/2.2.2

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**`[rds-instance-default-admin-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-default-admin-check.html)`

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查您是否已從預設值變更 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的管理使用者名稱。如果管理使用者名稱設定為預設值，則控制項會失敗。控制項不適用於 neptune (Neptune 資料庫） 或 docdb (DocumentDB) 類型的引擎，以及屬於叢集的 RDS 執行個體。

Amazon RDS 資料庫上的預設管理使用者名稱為公有知識。建立 Amazon RDS 資料庫時，您應該將預設管理使用者名稱變更為唯一值，以降低意外存取的風險。

### 修補
<a name="rds-25-remediation"></a>

若要變更與 RDS 資料庫執行個體相關聯的管理使用者名稱，請先[建立新的 RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateDBInstance.html)。在建立資料庫時變更預設管理使用者名稱。

## 【RDS.26】 RDS 資料庫執行個體應受備份計劃保護
<a name="rds-26"></a>

**類別：**復原 > 恢復 > 備份已啟用

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-resources-protected-by-backup-plan.html) ``

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `backupVaultLockCheck`  |  如果 參數設為 true 且資源使用 AWS Backup 保存庫鎖定，則控制項會產生`PASSED`問題清單。  |  Boolean  |  `true` 或 `false` \$1  |  無預設值  | 

此控制項會評估備份計畫是否涵蓋 Amazon RDS 資料庫執行個體。如果備份計畫未涵蓋 RDS 資料庫執行個體，則此控制會失敗。如果您將 `backupVaultLockCheck` 參數設定為等於 `true`，則只有在執行個體備份在 AWS Backup 鎖定的保存庫中時，控制項才會通過。

**注意**  
此控制項不會評估 Neptune 和 DocumentDB 執行個體。它也不會評估屬於叢集成員的 RDS 資料庫執行個體。

AWS Backup 是一種全受管備份服務，可集中和自動化跨 的資料備份 AWS 服務。使用 AWS Backup，您可以建立稱為備份計劃的備份政策。您可以使用這些計劃來定義備份需求，例如備份資料的頻率，以及這些備份的保留時間。在備份計畫中包含 RDS 資料庫執行個體，可協助您保護資料免於意外遺失或遭到刪除。

### 修補
<a name="rds-26-remediation"></a>

若要將 RDS 資料庫執行個體新增至 AWS Backup 備份計劃，請參閱《 *AWS Backup 開發人員指南*》中的[將資源指派給備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。

## 【RDS.27】 RDS 資料庫叢集應靜態加密
<a name="rds-27"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-encrypted-at-rest.html) ``

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 RDS 資料庫叢集是否靜態加密。如果 RDS 資料庫叢集未靜態加密，則控制項會失敗。

靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性，降低未經授權的使用者可存取資料的風險。加密 RDS 資料庫叢集可保護您的資料和中繼資料免於未經授權的存取。它還滿足生產檔案系統data-at-rest加密的合規要求。

### 修補
<a name="rds-27-remediation"></a>

您可以在建立 RDS 資料庫叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊，請參閱[《Amazon Aurora 使用者指南》中的加密 Amazon Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html#Overview.Encryption.Enabling)。 **

## 【RDS.28】 RDS 資料庫叢集應加上標籤
<a name="rds-28"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config rule：**`tagged-rds-dbcluster`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon RDS 資料庫叢集是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料庫叢集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料庫叢集未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="rds-28-remediation"></a>

若要將標籤新增至 RDS 資料庫叢集，請參閱《[Amazon RDS 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 **

## 【RDS.29】 應標記 RDS 資料庫叢集快照
<a name="rds-29"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBClusterSnapshot`

**AWS Config rule：**`tagged-rds-dbclustersnapshot`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon RDS 資料庫叢集快照是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料庫叢集快照沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料庫叢集快照未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="rds-29-remediation"></a>

若要將標籤新增至 RDS 資料庫叢集快照，請參閱《[Amazon RDS 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 **

## 【RDS.30】 RDS 資料庫執行個體應加上標籤
<a name="rds-30"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config rule：**`tagged-rds-dbinstance`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon RDS 資料庫執行個體是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料庫執行個體沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料庫執行個體未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="rds-30-remediation"></a>

若要將標籤新增至 RDS 資料庫執行個體，請參閱《[Amazon RDS 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 **

## 【RDS.31】 RDS 資料庫安全群組應加上標籤
<a name="rds-31"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBSecurityGroup`

**AWS Config rule：**`tagged-rds-dbsecuritygroup`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon RDS 資料庫安全群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料庫安全群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料庫安全群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="rds-31-remediation"></a>

若要將標籤新增至 RDS 資料庫安全群組，請參閱《[Amazon RDS 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 **

## 【RDS.32】 RDS 資料庫快照應加上標籤
<a name="rds-32"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBSnapshot`

**AWS Config rule：**`tagged-rds-dbsnapshot`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon RDS 資料庫快照是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料庫快照沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料庫快照未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="rds-32-remediation"></a>

若要將標籤新增至 RDS 資料庫快照，請參閱《[Amazon RDS 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 **

## 【RDS.33】 RDS 資料庫子網路群組應加上標籤
<a name="rds-33"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBSubnetGroup`

**AWS Config rule：**`tagged-rds-dbsubnetgroups`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon RDS 資料庫子網路群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料庫子網路群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料庫子網路群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="rds-33-remediation"></a>

若要將標籤新增至 RDS 資料庫子網路群組，請參閱《[Amazon RDS 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 **

## 【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
<a name="rds-34"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-mysql-audit-logging-enabled.html) ``

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否已設定為將稽核日誌發佈至 Amazon CloudWatch Logs。如果叢集未設定為將稽核日誌發佈至 CloudWatch Logs，則控制項會失敗。控制項不會產生 Aurora Serverless v1 資料庫叢集的問題清單。

稽核日誌會擷取資料庫活動的記錄，包括登入嘗試、資料修改、結構描述變更，以及其他可基於安全與合規目的而稽核的事件。當您設定 Aurora MySQL 資料庫叢集將稽核日誌發佈至 Amazon CloudWatch Logs 中的日誌群組時，您可以執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高耐用性的儲存中。您也可以在 CloudWatch 中建立警示和檢視指標。

**注意**  
將稽核日誌發佈至 CloudWatch Logs 的另一種方法是啟用進階稽核，並將叢集層級資料庫參數 `server_audit_logs_upload` 設為 `1`。的預設值`server_audit_logs_upload parameter`為 `0`。不過，我們建議您改用下列修補指示來傳遞此控制項。

### 修補
<a name="rds-34-remediation"></a>

若要將 Aurora MySQL 資料庫叢集稽核日誌發佈至 CloudWatch Logs，請參閱[《Amazon Aurora 使用者指南》中的將 Amazon Aurora MySQL 日誌發佈至 Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html)。 **

## 【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級
<a name="rds-35"></a>

**相關要求：**NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-auto-minor-version-upgrade-enable.html) ``

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS Multi-AZ 資料庫叢集是否已啟用自動次要版本升級。如果未為多可用區域資料庫叢集啟用自動次要版本升級，則控制項會失敗。

RDS 提供自動次要版本升級，讓您可以將多可用區域資料庫叢集保持在最新狀態。次要版本可以引進新的軟體功能、錯誤修正、安全性修補程式和效能改善。透過在 RDS 資料庫叢集上啟用自動次要版本升級，當有新版本可用時，叢集以及叢集中的執行個體都會收到次要版本的自動更新。更新會在維護時段期間自動套用。

### 修補
<a name="rds-35-remediation"></a>

若要在多可用區域資料庫叢集上啟用自動次要版本升級，請參閱《*Amazon RDS 使用者指南*》中的[修改多可用區域資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/modify-multi-az-db-cluster.html)。

## 【RDS.36】 RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs
<a name="rds-36"></a>

**相關要求：**PCI DSS v4.0.1/10.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgresql-logs-to-cloudwatch.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  要發佈至 CloudWatch Logs 的日誌類型逗號分隔清單  |  StringList  |  無法自訂  |  `postgresql`  | 

此控制項會檢查 Amazon RDS for PostgreSQL 資料庫執行個體是否已設定為將日誌發佈至 Amazon CloudWatch Logs。如果 PostgreSQL 資料庫執行個體未設定為將 `logTypes` 參數中提到的日誌類型發佈至 CloudWatch Logs，則控制項會失敗。

資料庫記錄提供對 RDS 執行個體提出之請求的詳細記錄。PostgreSQL 會產生事件日誌，其中包含管理員的實用資訊。將這些日誌發佈到 CloudWatch Logs 可集中管理日誌，並協助您執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高耐用性的儲存中。您也可以在 CloudWatch 中建立警示和檢視指標。

### 修補
<a name="rds-36-remediation"></a>

若要將 PostgreSQL 資料庫執行個體日誌發佈至 CloudWatch Logs，請參閱《[Amazon RDS 使用者指南》中的將 PostgreSQL 日誌發佈至 Amazon CloudWatch Logs Amazon CloudWatch](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.Concepts.PostgreSQL.PublishtoCloudWatchLogs)。 **

## 【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs
<a name="rds-37"></a>

**相關要求：**PCI DSS v4.0.1/10.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-aurora-postgresql-logs-to-cloudwatch.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon Aurora PostgreSQL 資料庫叢集是否設定為將日誌發佈至 Amazon CloudWatch Logs。如果 Aurora PostgreSQL 資料庫叢集未設定為將 PostgreSQL 日誌發佈至 CloudWatch Logs，則控制項會失敗。

資料庫記錄提供對 RDS 叢集提出之請求的詳細記錄。Aurora PostgreSQL 會產生事件日誌，其中包含管理員的實用資訊。將這些日誌發佈到 CloudWatch Logs 可集中管理日誌，並協助您執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高耐用性的儲存中。您也可以在 CloudWatch 中建立警示和檢視指標。

### 修補
<a name="rds-37-remediation"></a>

若要將 Aurora PostgreSQL 資料庫叢集日誌發佈至 CloudWatch Logs，請參閱《[Amazon RDS 使用者指南》中的將 Aurora PostgreSQL 日誌發佈至 Amazon CloudWatch Logs Amazon CloudWatch](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.CloudWatch.html)。 **

## 【RDS.38】 RDS for PostgreSQL 資料庫執行個體應在傳輸中加密
<a name="rds-38"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-postgres-instance-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查與 Amazon RDS for PostgreSQL 資料庫 (DB) 執行個體的連線是否在傳輸中加密。如果與執行個體相關聯之參數群組的 `rds.force_ssl` 參數設定為 `0`（關閉），則控制項會失敗。此控制項不會評估屬於資料庫叢集的 RDS 資料庫執行個體。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如叢集中的節點之間，或叢集與您的應用程式之間。資料可能會跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。

### 修補
<a name="rds-38-remediation"></a>

若要要求 RDS for PostgreSQL 資料庫執行個體的所有連線使用 SSL，請參閱《*Amazon RDS 使用者指南*》中的[搭配使用 SSL 與 PostgreSQL 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/PostgreSQL.Concepts.General.SSL.html)。

## 【RDS.39】 RDS for MySQL 資料庫執行個體應在傳輸中加密
<a name="rds-39"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-instance-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查與 Amazon RDS for MySQL 資料庫 (DB) 執行個體的連線是否在傳輸中加密。如果與執行個體相關聯之參數群組的 `rds.require_secure_transport` 參數設定為 `0`（關閉），則控制項會失敗。此控制項不會評估屬於資料庫叢集的 RDS 資料庫執行個體。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如叢集中的節點之間，或叢集與您的應用程式之間。資料可能會跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。

### 修補
<a name="rds-39-remediation"></a>

若要要求 RDS for MySQL 資料庫執行個體的所有連線都使用 SSL，請參閱《[Amazon RDS 使用者指南》中的 Amazon RDS 上 MySQL 資料庫執行個體的 SSL/TLS 支援](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/MySQL.Concepts.SSLSupport.html)。 **

## 【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs
<a name="rds-40"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sql-server-logs-to-cloudwatch.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  RDS for SQL Server 資料庫執行個體應設定為發佈至 CloudWatch Logs 的日誌類型清單。如果資料庫執行個體未設定為發佈清單中指定的日誌類型，則此控制項會失敗。  |  EnumList （最多 2 個項目）  |  `agent`, `error`  |  `agent`, `error`  | 

此控制項會檢查 Amazon RDS for Microsoft SQL Server 資料庫執行個體是否已設定為將日誌發佈至 Amazon CloudWatch Logs。如果 RDS for SQL Server 資料庫執行個體未設定為將日誌發佈至 CloudWatch Logs，則控制項會失敗。您可以選擇性地指定資料庫執行個體應設定為發佈的日誌類型。

資料庫記錄提供對 Amazon RDS 資料庫執行個體提出之請求的詳細記錄。將日誌發佈至 CloudWatch Logs 可集中管理日誌，並協助您執行日誌資料的即時分析。CloudWatch Logs 會將日誌保留在高耐用性的儲存中。此外，您可以使用它來為可能發生的特定錯誤建立警示，例如在錯誤日誌中記錄的頻繁重新啟動。同樣地，您可以針對 SQL Server 代理程式任務相關日誌中記錄的錯誤或警告建立警示。

### 修補
<a name="rds-40-remediation"></a>

如需有關將日誌發佈至 RDS for SQL Server 資料庫執行個體的 CloudWatch Logs 的資訊，請參閱《[Amazon Relational Database Service 使用者指南》中的 Amazon RDS for Microsoft SQL Server 資料庫日誌檔案](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.SQLServer.html)。 *Amazon Relational Database Service *

## 【RDS.41】 RDS for SQL Server 資料庫執行個體應在傳輸中加密
<a name="rds-41"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-sqlserver-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查與 Amazon RDS for Microsoft SQL Server 資料庫執行個體的連線是否在傳輸中加密。如果與資料庫執行個體相關聯的參數群組的 `rds.force_ssl` 參數設定為 ，則控制項會失敗`0 (off)`。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如資料庫叢集中的節點之間，或資料庫叢集與用戶端應用程式之間。資料可以跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者竊聽網路流量的風險。

### 修補
<a name="rds-41-remediation"></a>

如需有關為執行 Microsoft SQL Server 的 Amazon RDS 資料庫執行個體啟用 SSL/TLS 的詳細資訊，請參閱《*Amazon Relational Database Service 使用者指南*》中的[搭配使用 SSL 與 Microsoft SQL Server 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.Using.html)。

## 【RDS.42】 RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs
<a name="rds-42"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html](https://docs.aws.amazon.com/config/latest/developerguide/mariadb-publish-logs-to-cloudwatch-logs.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `logTypes`  |  MariaDB 資料庫執行個體應設定為發佈至 CloudWatch Logs 的日誌類型清單。如果資料庫執行個體未設定為發佈清單中指定的日誌類型，控制項會產生`FAILED`問題清單。  |  EnumList （最多 4 個項目）  |  `audit`, `error`, `general`, `slowquery`  |  `audit, error`  | 

此控制項會檢查 Amazon RDS for MariaDB 資料庫執行個體是否設定為將特定類型的日誌發佈至 Amazon CloudWatch Logs。如果 MariaDB 資料庫執行個體未設定為將日誌發佈至 CloudWatch Logs，則控制項會失敗。您可以選擇性地指定應設定 MariaDB 資料庫執行個體發佈的日誌類型。

資料庫記錄提供對 Amazon RDS for MariaDB 資料庫執行個體提出之請求的詳細記錄。將日誌發佈至 Amazon CloudWatch Logs 可集中管理日誌，並協助您執行日誌資料的即時分析。此外，CloudWatch Logs 會將日誌保留在耐用的儲存體中，以支援安全性、存取和可用性審查和稽核。使用 CloudWatch Logs，您也可以建立警示並檢閱指標。

### 修補
<a name="rds-42-remediation"></a>

如需有關設定 Amazon RDS for MariaDB 資料庫執行個體將日誌發佈至 Amazon CloudWatch Logs 的資訊，請參閱《Amazon Relational Database Service 使用者指南》中的[將 MariaDB 日誌發佈至 Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.MariaDB.PublishtoCloudWatchLogs.html)。 *Amazon Relational Database Service *

## 【RDS.43】 RDS 資料庫代理應該需要連線的 TLS 加密
<a name="rds-43"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBProxy`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-proxy-tls-encryption.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon RDS 資料庫代理是否需要代理與基礎 RDS 資料庫執行個體之間所有連線的 TLS。如果代理不需要代理與 RDS 資料庫執行個體之間所有連線的 TLS，則控制項會失敗。

Amazon RDS Proxy 可以充當用戶端應用程式與基礎 RDS 資料庫執行個體之間的額外安全層。例如，您可以使用 TLS 1.3 連線到 RDS 代理，即使基礎資料庫執行個體支援舊版 TLS。透過使用 RDS Proxy，您可以對資料庫應用程式強制執行強大的身分驗證要求。

### 修補
<a name="rds-43-remediation"></a>

如需有關將 Amazon RDS 代理的設定變更為需要 TLS 的資訊，請參閱《*Amazon Relational Database Service 使用者指南》中的*[修改 RDS 代理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy-modifying-proxy.html)。

## 【RDS.44】 RDS for MariaDB 資料庫執行個體應在傳輸中加密
<a name="rds-44"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mariadb-instance-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查與 Amazon RDS for MariaDB 資料庫執行個體的連線是否在傳輸中加密。如果與資料庫執行個體相關聯的資料庫參數群組未同步，或參數群組的 `require_secure_transport` 參數未設定為 ，則控制項會失敗`ON`。

**注意**  
此控制項不會評估使用早於 10.5 版的 MariaDB 版本的 Amazon RDS 資料庫執行個體。`require_secure_transport` 參數僅支援 MariaDB 10.5 版和更新版本。

傳輸中的資料是指從一個位置移動到另一個位置的資料，例如資料庫叢集中的節點之間，或資料庫叢集與用戶端應用程式之間。資料可以跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者竊聽網路流量的風險。

### 修補
<a name="rds-44-remediation"></a>

如需為 Amazon RDS for MariaDB 資料庫執行個體的連線啟用 SSL/TLS 的詳細資訊，請參閱《*Amazon Relational Database Service 使用者指南*》中的需要[所有 MariaDB 資料庫執行個體連線的 SSL/TLS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mariadb-ssl-connections.require-ssl.html)。

## 【RDS.45】 Aurora MySQL 資料庫叢集應該啟用稽核記錄
<a name="rds-45"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-75 SI-3 SI-4 SI-7

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html](https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-cluster-audit-logging.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否已啟用稽核記錄。如果與資料庫叢集相關聯的資料庫參數群組未同步、`server_audit_logging`參數未設定為 `1`，或`server_audit_events`參數設定為空值，則控制項會失敗。

資料庫日誌可協助安全和存取稽核，並協助診斷可用性問題。稽核日誌會擷取資料庫活動的記錄，包括登入嘗試、資料修改、結構描述變更，以及其他可基於安全與合規目的而稽核的事件。

### 修補
<a name="rds-45-remediation"></a>

如需有關啟用 Amazon Aurora MySQL 資料庫叢集記錄的資訊，請參閱[《Amazon Aurora 使用者指南》中的將 Amazon Aurora MySQL 日誌發佈至 Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html)。 **

## 【RDS.46】 RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中
<a name="rds-46"></a>

**類別：**保護 > 安全網路組態 > 資源不可公開存取

**嚴重性：**高

**資源類型：** `AWS::RDS::DBInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-subnet-igw-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon RDS 資料庫執行個體是否部署在具有網際網路閘道路由的公有子網路中。如果 RDS 資料庫執行個體部署在具有網際網路閘道路由的子網路中，且目的地設定為 `0.0.0.0/0`或 ，則控制項會失敗`::/0`。

透過在私有子網路中佈建 Amazon RDS 資源，您可以防止 RDS 資源從公有網際網路接收傳入流量，進而防止意外存取 RDS 資料庫執行個體。如果 RDS 資源佈建在開放給網際網路的公有子網路中，它們可能會面臨資料外洩等風險。

### 修補
<a name="rds-46-remediation"></a>

如需有關為 Amazon RDS 資料庫執行個體佈建私有子網路的資訊，請參閱《*Amazon Relational Database Service 使用者指南*》中的[在 VPC 中使用資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html)。

## 【RDS.47】 RDS for PostgreSQL 資料庫叢集應設定為將標籤複製到資料庫快照
<a name="rds-47"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-pgsql-cluster-copy-tags-to-snapshot-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS for PostgreSQL 資料庫叢集是否設定為在建立快照時自動將標籤複製到資料庫叢集的快照。如果 RDS for PostgreSQL 資料庫叢集的 `CopyTagsToSnapshot` 參數設定為 `false`，則控制項會失敗。

將標籤複製到資料庫快照有助於維持跨備份資源的適當資源追蹤、控管和成本分配。這可在作用中資料庫及其快照之間實現一致的資源識別、存取控制和合規監控。正確標記的快照可確保備份資源繼承與其來源資料庫相同的中繼資料，以改善安全操作。

### 修補
<a name="rds-47-remediation"></a>

如需有關設定 Amazon RDS for PostgreSQL 資料庫叢集以自動將標籤複製到資料庫快照的資訊，請參閱[《Amazon Relational Database Service 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 *Amazon Relational Database Service *

## 【RDS.48】 RDS for MySQL 資料庫叢集應設定為將標籤複製到資料庫快照
<a name="rds-48"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-mysql-cluster-copy-tags-to-snapshot-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon RDS for MySQL 資料庫叢集是否設定為在建立快照時自動將標籤複製到資料庫叢集的快照。如果 RDS for MySQL 資料庫叢集的 `CopyTagsToSnapshot` 參數設定為 `false`，則控制項會失敗。

將標籤複製到資料庫快照有助於維持跨備份資源的適當資源追蹤、控管和成本分配。這可在作用中資料庫及其快照之間實現一致的資源識別、存取控制和合規監控。正確標記的快照可確保備份資源繼承與其來源資料庫相同的中繼資料，以改善安全操作。

### 修補
<a name="rds-48-remediation"></a>

如需有關設定 Amazon RDS for MySQL 資料庫叢集以自動將標籤複製到資料庫快照的資訊，請參閱[《Amazon Relational Database Service 使用者指南》中的標記 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Tagging.html)。 *Amazon Relational Database Service *

## 【RDS.50】 RDS 資料庫叢集應設定足夠的備份保留期間
<a name="rds-50"></a>

**類別：**復原 > 恢復 > 備份已啟用 

**嚴重性：**中

**資源類型：** `AWS::RDS::DBCluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-backup-retention-check.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minimumBackupRetentionPeriod`  |  控制項要檢查的最短備份保留期間，以天為單位  |  Integer  |  `7` 至 `35`  |  `7`  | 

此控制項會檢查 RDS 資料庫叢集是否有最短的備份保留期間。如果備份保留期小於指定的參數值，則控制項會失敗。除非您提供自訂參數值，否則 Security Hub 會使用預設值 7 天。

此控制項會檢查 RDS 資料庫叢集是否有最短的備份保留期間。如果備份保留期小於指定的參數值，則控制項會失敗。除非您提供客戶參數值，否則 Security Hub 會使用預設值 7 天。此控制項適用於所有類型的 RDS 資料庫叢集，包括 Aurora 資料庫叢集、DocumentDB 叢集、NeptuneDB 叢集等。

### 修補
<a name="rds-50-remediation"></a>

若要設定 RDS 資料庫叢集的備份保留期，請修改叢集設定，並將備份保留期設定為至少 7 天 （或控制參數中指定的值）。如需詳細說明，請參閱《*Amazon Relational Database Service 使用者指南*》中的[備份保留期](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.BackupRetention.html)。對於 Aurora 資料庫叢集，請參閱《Amazon [Aurora 使用者指南》中的備份和還原 Aurora 資料庫叢集](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Backups.html)*概觀*。如需其他類型的資料庫叢集 （例如 DocumentDB 叢集），請參閱對應的服務使用者指南，了解如何更新叢集的備份保留期間。

# Amazon Redshift 的 Security Hub CSPM 控制項
<a name="redshift-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Redshift 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Redshift.1】 Amazon Redshift 叢集應禁止公開存取
<a name="redshift-1"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**嚴重

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**排程類型：**已觸發變更

**參數：**無 

此控制項會檢查 Amazon Redshift 叢集是否可公開存取。它會評估叢集組態項目中的 `PubliclyAccessible` 欄位。

Amazon Redshift 叢集組態的 `PubliclyAccessible` 屬性會指出叢集是否可公開存取。當叢集`PubliclyAccessible`設定為 時`true`，它是面向網際網路的執行個體，其具有可公開解析的 DNS 名稱，可解析為公有 IP 地址。

當叢集無法公開存取時，它是內部執行個體，其具有解析為私有 IP 地址的 DNS 名稱。除非您打算讓叢集可公開存取，否則叢集不應`PubliclyAccessible`設定為 `true`。

### 修補
<a name="redshift-1-remediation"></a>

若要更新 Amazon Redshift 叢集以停用公開存取，請參閱《*Amazon Redshift 管理指南*》中的[修改叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。將**可公開存取**設定為**否**。

## 【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密
<a name="redshift-2"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否需要連線至 Amazon Redshift 叢集，才能使用傳輸中的加密。如果 Amazon Redshift 叢集參數`require_SSL`未設定為 ，則檢查會失敗`True`。

TLS 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。應只允許透過 TLS 的加密連線。加密傳輸中的資料可能會影響效能。您應該使用此功能測試應用程式，以了解效能描述檔和 TLS 的影響。

### 修補
<a name="redshift-2-remediation"></a>

若要將 Amazon Redshift 參數群組更新為需要加密，請參閱《*Amazon Redshift 管理指南*》中的[修改參數群組](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify)。`require_ssl` 設定為 **True**。

## 【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照
<a name="redshift-3"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 恢復 > 備份已啟用 

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  最短快照保留期間，以天為單位  |  Integer  |  `7` 至 `35`  |  `7`  | 

此控制項會檢查 Amazon Redshift 叢集是否已啟用自動快照，以及大於或等於指定時間範圍的保留期間。如果叢集未啟用自動快照，或保留期間小於指定的時間範圍，則控制項會失敗。除非您提供快照保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 7 天。

備份可協助您更快地從安全事件中復原。它們可增強您系統的彈性。根據預設，Amazon Redshift 會定期拍攝快照。此控制項會檢查是否啟用自動快照並保留至少七天。如需 Amazon Redshift 自動化快照的詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[自動化快照](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots)。

### 修補
<a name="redshift-3-remediation"></a>

若要更新 Amazon Redshift 叢集的快照保留期，請參閱《*Amazon Redshift 管理指南*》中的[修改叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。對於**備份**，將**快照保留**值設定為 7 或更高。

## 【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄
<a name="redshift-4"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config rule：**`redshift-cluster-audit-logging-enabled`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無 

此控制項會檢查 Amazon Redshift 叢集是否已啟用稽核記錄。

Amazon Redshift 稽核記錄提供叢集中連線和使用者活動的其他資訊。此資料可以在 Amazon S3 中存放和保護，並有助於安全稽核和調查。如需詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[資料庫稽核記錄](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。

### 修補
<a name="redshift-4-remediation"></a>

若要設定 Amazon Redshift 叢集的稽核記錄，請參閱《*Amazon Redshift 管理指南*》中的[使用主控台設定稽核](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。

## 【Redshift.6】 Amazon Redshift 應已啟用主要版本的自動升級
<a name="redshift-6"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**排程類型：**已觸發變更

**參數：**
+ `allowVersionUpgrade = true` （不可自訂）

此控制項會檢查是否已為 Amazon Redshift 叢集啟用自動主要版本升級。

啟用自動主要版本升級可確保在維護時段期間安裝 Amazon Redshift 叢集的最新主要版本更新。這些更新可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝的最新資訊，是保護系統安全的重要步驟。

### 修補
<a name="redshift-6-remediation"></a>

若要從 修復此問題 AWS CLI，請使用 Amazon Redshift `modify-cluster`命令，並設定 `--allow-version-upgrade` 屬性。 `clustername`是 Amazon Redshift 叢集的名稱。

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## 【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由
<a name="redshift-7"></a>

**相關需求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**類別：**保護 > 安全網路組態 > API 私有存取

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Redshift 叢集是否`EnhancedVpcRouting`已啟用。

增強型 VPC 路由會強制叢集`COPY`和資料儲存庫之間的所有 和 `UNLOAD`流量通過您的 VPC。然後，您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。

### 修補
<a name="redshift-7-remediation"></a>

如需詳細修復指示，請參閱《*Amazon Redshift 管理指南*》中的[啟用增強型 VPC 路由](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html)。

## 【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱
<a name="redshift-8"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Redshift 叢集是否已從其預設值變更管理員使用者名稱。如果 Redshift 叢集的管理員使用者名稱設定為 ，則此控制項會失敗`awsuser`。

建立 Redshift 叢集時，您應該將預設管理員使用者名稱變更為唯一值。預設使用者名稱是公有知識，應在組態時變更。變更預設使用者名稱可降低意外存取的風險。

### 修補
<a name="redshift-8-remediation"></a>

您無法在建立 Amazon Redshift 叢集之後變更其管理員使用者名稱。若要使用非預設使用者名稱建立新的叢集，請參閱[《Amazon Redshift 入門指南》中的步驟 1：建立範例 Amazon Redshift 叢集](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html)。 **

## 【Redshift.10】 應靜態加密 Redshift 叢集
<a name="redshift-10"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Redshift 叢集是否靜態加密。如果 Redshift 叢集未靜態加密，或加密金鑰與規則參數中提供的金鑰不同，則控制項會失敗。

在 Amazon Redshift 中，您可以為您的叢集開啟資料庫加密，以協助保護靜態資料。開啟叢集的加密時，叢集和其快照的資料區塊和系統中繼資料會加密。靜態資料加密是建議的最佳實務，因為它會為您的資料新增一層存取管理。加密靜態 Redshift 叢集可降低未經授權的使用者可以存取儲存在磁碟上的資料的風險。

### 修補
<a name="redshift-10-remediation"></a>

若要修改 Redshift 叢集以使用 KMS 加密，請參閱《*Amazon Redshift 管理指南*》中的[變更叢集加密](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html)。

## 【Redshift.11】 應標記 Redshift 叢集
<a name="redshift-11"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config rule：**`tagged-redshift-cluster`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-11-remediation"></a>

若要將標籤新增至 Redshift 叢集，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.12】 應標記 Redshift 事件通知訂閱
<a name="redshift-12"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::EventSubscription`

**AWS Config rule：**`tagged-redshift-eventsubscription`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集快照是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集快照沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集快照未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-12-remediation"></a>

若要將標籤新增至 Redshift 事件通知訂閱，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.13】 應標記 Redshift 叢集快照
<a name="redshift-13"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::ClusterSnapshot`

**AWS Config rule：**`tagged-redshift-clustersnapshot`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集快照是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集快照沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集快照未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-13-remediation"></a>

若要將標籤新增至 Redshift 叢集快照，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.14】 應標記 Redshift 叢集子網路群組
<a name="redshift-14"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config rule：**`tagged-redshift-clustersubnetgroup`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集子網路群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集子網路群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集子網路群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-14-remediation"></a>

若要將標籤新增至 Redshift 叢集子網路群組，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠
<a name="redshift-15"></a>

**相關要求：**PCI DSS v4.0.1/1.3.1

**類別：**保護 > 安全網路組態 > 安全群組組態

**嚴重性：**高

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查與 Amazon Redshift 叢集相關聯的安全群組是否具有允許從網際網路 (0.0.0.0/0 或 ：：/0) 存取叢集連接埠的輸入規則。如果安全群組傳入規則允許從網際網路存取叢集連接埠，則控制項會失敗。

允許不受限制的傳入存取 Redshift 叢集連接埠 (IP 地址加上 /0 尾碼） 可能會導致未經授權的存取或安全事件。我們建議您在建立安全群組和設定傳入規則時，套用最低權限存取的主體。

### 修補
<a name="redshift-15-remediation"></a>

若要將 Redshift 叢集連接埠上的輸入限制為受限原始伺服器，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules)。更新連接埠範圍符合 Redshift 叢集連接埠且 IP 連接埠範圍為 0.0.0.0/0 的規則。

## 【Redshift.16】 Redshift 叢集子網路群組應具有來自多個可用區域的子網路
<a name="redshift-16"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**排程類型：**已觸發變更

**參數：**無

控制項會檢查 Amazon Redshift 叢集子網路群組是否有來自多個可用區域 (AZ) 的子網路。如果叢集子網路群組沒有至少兩個不同AZs子網路，則控制項會失敗。

跨多個AZs設定子網路有助於確保您的 Redshift 資料倉儲可以繼續操作，即使發生故障事件也一樣。

### 修補
<a name="redshift-16-remediation"></a>

若要修改 Redshift 叢集子網路群組以跨越多個AZs，請參閱《*Amazon Redshift 管理指南*》中的[修改叢集子網路群組](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html)。

## 【Redshift.17】 應標記 Redshift 叢集參數群組
<a name="redshift-17"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::ClusterParameterGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon Redshift 叢集參數群組是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果參數群組沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果參數群組沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="redshift-17-remediation"></a>

如需有關將標籤新增至 Amazon Redshift 叢集參數群組的資訊，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.18】 Redshift 叢集應啟用異地同步備份部署
<a name="redshift-18"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已為 Amazon Redshift 叢集啟用多個可用區域 （多可用區域） 部署。如果未為 Amazon Redshift 叢集啟用異地同步備份部署，則控制項會失敗。

Amazon Redshift 支援佈建叢集的多個可用區域 （多可用區域） 部署。如果為叢集啟用異地同步備份部署，當可用區域 (AZ) 發生意外事件時，Amazon Redshift 資料倉儲可以在失敗情況下繼續操作。異地同步備份部署會在多個異地同步備份中部署運算資源，而且可以透過單一端點存取這些運算資源。如果整個 AZ 失敗，則另一個 AZ 中的剩餘運算資源可用於繼續處理工作負載。您可以將現有的單一可用區資料倉儲轉換為多可用區資料倉儲。其他運算資源接著會佈建在第二個可用區域中。

### 修補
<a name="redshift-18-remediation"></a>

如需為 Amazon Redshift 叢集設定異地同步備份部署的相關資訊，請參閱《*Amazon Redshift 管理指南*》中的[將單一異地同步備份資料倉儲轉換為異地同步備份資料倉儲](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html)。

# Amazon Redshift Serverless 的 Security Hub CSPM 控制項
<a name="redshiftserverless-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Redshift Serverless 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【RedshiftServerless.1] Amazon Redshift Serverless 工作群組應使用增強型 VPC 路由
<a name="redshiftserverless-1"></a>

**類別：**保護 > 安全網路組態 > VPC 內的資源

**嚴重性：**高

**資源類型：** `AWS::RedshiftServerless::Workgroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已為 Amazon Redshift Serverless 工作群組啟用增強型 VPC 路由。如果工作群組的增強型 VPC 路由已停用，則控制項會失敗。

如果停用 Amazon Redshift Serverless 工作群組的增強型 VPC 路由，Amazon Redshift 會透過網際網路路由流量，包括網路中其他服務的流量 AWS 。如果您為工作群組啟用增強型 VPC 路由，Amazon Redshift 會根據 Amazon VPC 服務，透過虛擬私有雲端 (VPC) 強制叢集與資料儲存庫之間的所有 `COPY`和`UNLOAD`流量。透過增強型 VPC 路由，您可以使用標準 VPC 功能來控制 Amazon Redshift 叢集和其他資源之間的資料流程。這包括 VPC 安全群組和端點政策、網路存取控制清單 (ACLs) 和網域名稱系統 (DNS) 伺服器等功能。您也可以使用 VPC 流程日誌來監控 `COPY` 和 `UNLOAD` 流量。

### 修補
<a name="redshiftserverless-1-remediation"></a>

如需增強型 VPC 路由以及如何為工作群組啟用它的詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[使用 Redshift 增強型 VPC 路由控制網路流量](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)。

## 【RedshiftServerless.2] 必須使用 SSL 連線到 Redshift Serverless 工作群組
<a name="redshiftserverless-2"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Workgroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否需要與 Amazon Redshift Serverless 工作群組的連線，才能加密傳輸中的資料。如果工作群組的`require_ssl`組態參數設定為 ，則控制項會失敗`false`。

Amazon Redshift Serverless 工作群組是運算資源的集合，可將運算資源分組，例如 RPUs、VPC 子網路群組和安全群組。工作群組的屬性包括網路和安全設定。這些設定指定是否需要連線到工作群組，才能使用 SSL 來加密傳輸中的資料。

### 修補
<a name="redshiftserverless-2-remediation"></a>

如需將 Amazon Redshift Serverless 工作群組的設定更新為需要 SSL 連線的相關資訊，請參閱《[Amazon Redshift 管理指南》中的連線至 Amazon Redshift Serverless](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html)。 **

## 【RedshiftServerless.3] Redshift Serverless 工作群組應禁止公開存取
<a name="redshiftserverless-3"></a>

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::RedshiftServerless::Workgroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否停用 Amazon Redshift Serverless 工作群組的公有存取。它會評估 Redshift Serverless 工作群組的 `publiclyAccessible` 屬性。如果工作群組的公有存取已啟用 (`true`)，則控制項會失敗。

Amazon Redshift Serverless 工作群組的公有存取 (`publiclyAccessible`) 設定會指定工作群組是否可以從公有網路存取。如果工作群組的公有存取已啟用 (`true`)，Amazon Redshift 會建立彈性 IP 地址，讓工作群組可從 VPC 外部公開存取。如果您不希望工作群組可公開存取，請停用其公開存取。

### 修補
<a name="redshiftserverless-3-remediation"></a>

如需有關變更 Amazon Redshift Serverless 工作群組公有存取設定的資訊，請參閱《*Amazon Redshift 管理指南*》中的[檢視工作群組的屬性](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html)。

## 【RedshiftServerless.4] Redshift Serverless 命名空間應使用客戶受管加密 AWS KMS keys
<a name="redshiftserverless-4"></a>

**相關要求：**NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Namespace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |   AWS KMS keys 要包含在評估中的 Amazon Resource Name (ARNs清單。如果 Redshift Serverless 命名空間未使用清單中的 KMS 金鑰加密，控制項會產生`FAILED`問題清單。  |  StringList （最多 3 個項目）  |  現有 KMS 金鑰的 1–3 ARNs。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  無預設值  | 

此控制項會檢查 Amazon Redshift Serverless 命名空間是否使用客戶受管的靜態加密 AWS KMS key。如果 Redshift Serverless 命名空間未使用客戶受管 KMS 金鑰加密，則控制項會失敗。您可以選擇性地為控制項指定要包含在評估中的 KMS 金鑰清單。

在 Amazon Redshift Serverless 中，命名空間會定義資料庫物件的邏輯容器。此控制項會定期檢查命名空間的加密設定是否指定客戶受管 AWS KMS key，而非 AWS 受管 KMS 金鑰，以加密命名空間中的資料。使用客戶受管 KMS 金鑰，您可以完全控制金鑰。這包括定義和維護金鑰政策、管理授予、輪換密碼編譯材料、指派標籤、建立別名，以及啟用和停用金鑰。

### 修補
<a name="redshiftserverless-4-remediation"></a>

如需更新 Amazon Redshift Serverless 命名空間加密設定並指定客戶受管的詳細資訊 AWS KMS key，請參閱[《Amazon Redshift 管理指南》中的變更命名空間 AWS KMS key 的](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) 。 **

## 【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱
<a name="redshiftserverless-5"></a>

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Namespace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Redshift Serverless 命名空間的管理員使用者名稱是否為預設的管理員使用者名稱 `admin`。如果 Redshift Serverless 命名空間的管理員使用者名稱為 ，則控制項會失敗`admin`。

建立 Amazon Redshift Serverless 命名空間時，您應該為命名空間指定自訂管理員使用者名稱。預設管理員使用者名稱為公有知識。例如，透過指定自訂管理員使用者名稱，您可以協助降低對命名空間的暴力攻擊風險或有效性。

### 修補
<a name="redshiftserverless-5-remediation"></a>

您可以使用 Amazon Redshift Serverless 主控台或 API 變更 Amazon Redshift Serverless 命名空間的管理員使用者名稱。若要使用主控台進行變更，請選擇命名空間組態，然後在**動作**功能表上選擇**編輯管理員憑證**。若要以程式設計方式變更，請使用 [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) 命令。如果您變更管理員使用者名稱，也必須同時變更管理員密碼。

## 【RedshiftServerless.6] Redshift Serverless 命名空間應將日誌匯出至 CloudWatch Logs
<a name="redshiftserverless-6"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Namespace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Redshift Serverless 命名空間是否已設定為將連線和使用者日誌匯出至 Amazon CloudWatch Logs。如果未將 Redshift Serverless 命名空間設定為將日誌匯出至 CloudWatch Logs，則控制項會失敗。

如果您設定 Amazon Redshift Serverless 將連線日誌 (`connectionlog`) 和使用者日誌 (`userlog`) 資料匯出至 Amazon CloudWatch Logs 中的日誌群組，您可以將日誌記錄收集並存放在耐用的儲存體中，以支援安全性、存取和可用性檢閱和稽核。使用 CloudWatch Logs，您也可以執行日誌資料的即時分析，並使用 CloudWatch 建立警示和檢閱指標。

### 修補
<a name="redshiftserverless-6-remediation"></a>

若要將 Amazon Redshift Serverless 命名空間的日誌資料匯出至 Amazon CloudWatch Logs，必須在命名空間的稽核日誌組態設定中選取要匯出的個別日誌。如需更新這些設定的相關資訊，請參閱《*Amazon Redshift 管理指南*》中的[編輯安全性和加密](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html)。

# Route 53 的 Security Hub CSPM 控制項
<a name="route53-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Route 53 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Route53.1】 應標記 Route 53 運作狀態檢查
<a name="route53-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Route53::HealthCheck`

**AWS Config rule：**`tagged-route53-healthcheck`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon Route 53 運作狀態檢查是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果運作狀態檢查沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果運作狀態檢查未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="route53-1-remediation"></a>

若要將標籤新增至 Route 53 運作狀態檢查，請參閱《*Amazon Route 53 開發人員指南*》中的[命名和標記運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-tagging.html)。

## 【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢
<a name="route53-2"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Route53::HostedZone`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/route53-query-logging-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查是否已為 Amazon Route 53 公有託管區域啟用 DNS 查詢記錄。如果 Route 53 公有託管區域未啟用 DNS 查詢記錄，則控制項會失敗。

記錄 Route 53 託管區域的 DNS 查詢可解決 DNS 安全和合規要求，並授予可見性。日誌包含查詢的網域或子網域、查詢的日期和時間、DNS 記錄類型 （例如 A 或 AAAA) 和 DNS 回應代碼 （例如 `NoError`或 ) 等資訊`ServFail`。啟用 DNS 查詢記錄時，Route 53 會將日誌檔案發佈至 Amazon CloudWatch Logs。

### 修補
<a name="route53-2-remediation"></a>

若要記錄 Route 53 公有託管區域的 DNS 查詢，請參閱《*Amazon Route 53 開發人員指南*》中的[設定 DNS 查詢的記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/query-logs.html#query-logs-configuring)。

# Amazon S3 的 Security Hub CSPM 控制項
<a name="s3-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Simple Storage Service (Amazon S3) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定
<a name="s3-1"></a>

**相關要求：** CIS AWS Foundations Benchmark 5.0.0/2.1.4 版， CIS AWS Foundations Benchmark 3.0.0/2.1.4 版， CIS AWS Foundations Benchmark 1.4.0/2.1.5 版， NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7)， NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)， NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)， NIST.800-53.r5 SC-7(16)， NIST.800-53.r5 SC-7(20)， NIST.800-53.r5 SC-7(21)， NIST.800-53.r5 SC-7(3)， NIST.800-53.r5 SC-7(4)， NIST.800-53.r5 SC-7(9)， PCI DSS 3.2.1/1.2.1 版， PCI DSS 3.2.1/1.3.1 版， PCI DSS 3.2.1/1.3.2 版， PCI DSS 3.2.1/1.3.4 版， PCI DSS 3.2.1/1.3.6 版， PCI DSS 4.0.1/1.4.4 版

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks-periodic.html)

**排程類型：**定期

**參數：**
+ `ignorePublicAcls`：`true`（不可自訂）
+ `blockPublicPolicy`：`true`（不可自訂）
+ `blockPublicAcls`：`true`（不可自訂）
+ `restrictPublicBuckets`：`true`（不可自訂）

此控制項會檢查上述 Amazon S3 封鎖公有存取設定是否已在 S3 一般用途儲存貯體的帳戶層級設定。如果一個或多個封鎖公開存取設定設定為 ，則控制項會失敗`false`。

如果任何設定設為 `false`，或如果任何設定未設定，則控制項會失敗。

Amazon S3 公有存取區塊旨在提供整個 AWS 帳戶 或個別 S3 儲存貯體層級的控制，以確保物件絕不具有公有存取。透過存取控制清單 (ACL)、儲存貯體政策或兩者來授予對儲存貯體和物件的公開存取許可。

除非您打算公開存取 S3 儲存貯體，否則您應該設定帳戶層級的 Amazon S3 封鎖公開存取功能。

若要進一步了解，請參閱《[Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 封鎖公開存取](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。 **

### 修補
<a name="s3-1-remediation"></a>

若要為您的 啟用 Amazon S3 封鎖公開存取 AWS 帳戶，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[為您的帳戶設定封鎖公開存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html)。

## 【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取
<a name="s3-2"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4-4(21)、NIST.800-53.r5 AC-60 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited)

**排程類型：**定期觸發和變更

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公開讀取存取。系統會評估封鎖公開存取的設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果儲存貯體允許公有讀取存取，則控制項會失敗。

**注意**  
如果 S3 儲存貯體具有儲存貯體政策，則此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果，儲存貯體政策中的條件只能使用固定值，這些值不包含萬用字元或政策變數。如需政策變數的相關資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

有些使用案例可能需要網際網路上的每個人都能從您的 S3 儲存貯體讀取。然而，這類情況很少見。為了確保資料的完整性和安全，您的 S3 儲存貯體不應允許公開讀取。

### 修補
<a name="s3-2-remediation"></a>

若要封鎖 Amazon S3 儲存貯體上的公有讀取存取，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 S3 儲存貯體的封鎖公有存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。

## 【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取
<a name="s3-3"></a>

**相關要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4(2NIST.800-53.r5 AC-65.r5 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全網路組態

**嚴重性：**嚴重

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)

**排程類型：**定期觸發和變更

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否允許公有寫入存取。系統會評估封鎖公開存取的設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。如果儲存貯體允許公有寫入存取，則控制項會失敗。

**注意**  
如果 S3 儲存貯體具有儲存貯體政策，則此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果，儲存貯體政策中的條件只能使用固定值，這些值不包含萬用字元或政策變數。如需政策變數的相關資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

某些使用案例需要網際網路上的每個人都能夠寫入您的 S3 儲存貯體。然而，這類情況很少見。為了確保資料的完整性和安全，您的 S3 儲存貯體不應允許公開寫入。

### 修補
<a name="s3-3-remediation"></a>

若要封鎖 Amazon S3 儲存貯體上的公有寫入存取，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 S3 儲存貯體的封鎖公有存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)。

## 【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL
<a name="s3-5"></a>

**相關要求：** CIS AWS Foundations Benchmark 5.0.0/2.1.1 版， CIS AWS Foundations Benchmark 3.0.0/2.1.1 版， CIS AWS Foundations Benchmark 1.4.0/2.1.2 版， NIST.800-53.r5 AC-17(2)， NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)， NIST.800-53.r5 SC-12(3)， NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23(3)， NIST.800-53.r5 SC-7(4)， NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(1)， NIST.800-53.r5 SC-8(2)， NIST.800-53.r5 SI-7(6)， NIST.800-171.r2 3.13.8、 NIST.800-171.r2 3.13.15， PCI DSS 3.2.1/4.1 版， PCI DSS 4.0.1/4.2.1 版

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否有需要請求才能使用 SSL 的政策。如果儲存貯體政策不需要使用 SSL 的請求，則控制項會失敗。

S3 儲存貯體應具有要求所有請求 (`Action: S3:*`) 在 S3 資源政策中僅接受透過 HTTPS 傳輸資料的政策，以條件索引鍵 表示`aws:SecureTransport`。

### 修補
<a name="s3-5-remediation"></a>

若要更新 Amazon S3 儲存貯體政策以拒絕不安全的傳輸，請參閱[《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。 **

新增類似於下列政策的政策陳述式。`amzn-s3-demo-bucket` 將 取代為您修改的儲存貯體名稱。

------
#### [ JSON ]

****  

```
{
    "Id": "ExamplePolicy",
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}
```

------

如需詳細資訊，請參閱*AWS 官方知識中心*中的[我應該使用什麼 S3 儲存貯體政策來遵守 AWS Config 規則 s3-bucket-ssl-requests-only？](https://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/)。

## 【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶
<a name="s3-6"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.13.4

**類別：**保護 > 安全存取管理 > 敏感 API 操作動作受限 

**嚴重性：**高

**資源類型：** `AWS::S3::Bucket`

**AWS Config** 規則：[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html)

**排程類型：**已觸發變更

**參數：**
+ `blacklistedactionpatterns`：`s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl`（不可自訂）

此控制項會檢查 Amazon S3 一般用途儲存貯體政策是否防止委託 AWS 帳戶 人對 S3 儲存貯體中的資源執行拒絕的動作。如果儲存貯體政策允許另一個 中委託人的一個或多個上述動作，則控制項會失敗 AWS 帳戶。

實作最低權限存取對於降低安全風險以及錯誤或惡意意圖的影響至關重要。如果 S3 儲存貯體政策允許從外部帳戶存取，可能會導致內部威脅或攻擊者資料外洩。

`blacklistedactionpatterns` 參數允許成功評估 S3 儲存貯體的規則。參數會將未包含在`blacklistedactionpatterns`清單中的動作模式存取權授予外部帳戶。

### 修補
<a name="s3-6-remediation"></a>

若要更新 Amazon S3 儲存貯體政策以移除許可，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。

在**編輯儲存貯體政策**頁面的政策編輯文字方塊中，採取下列其中一個動作：
+ 移除授予其他拒絕動作 AWS 帳戶 存取權的陳述式。
+ 從陳述式中移除允許的拒絕動作。

## 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫
<a name="s3-7"></a>

**相關要求：**PCI DSS v3.2.1/2.2、NIST.800-53.r5 AU-9(2)、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-36(2)、NIST.800-53.r5 SC-5(2)、NIST.8000-5.r5 SI-13(5)

**類別：**保護 > 安全存取管理

**嚴重性：**低

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則： ** [https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-cross-region-replication-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用跨區域複寫。如果儲存貯體未啟用跨區域複寫，則控制項會失敗。

複寫是在相同或不同的儲存貯體之間自動非同步複製物件 AWS 區域。複寫會將新建立的物件和物件更新從來源儲存貯體複製到目的地儲存貯體。 AWS 最佳實務建議對相同 擁有的來源和目的地儲存貯體進行複寫 AWS 帳戶。除了可用性之外，建議您考慮其他系統強化設定。

如果複寫目的地儲存貯體未啟用跨區域複寫，則此控制項會產生其`FAILED`調查結果。如果發生目的地儲存貯體不需要啟用跨區域複寫的合法原因，您可以隱藏此儲存貯體的問題清單。

### 修補
<a name="s3-7-remediation"></a>

若要在 S3 儲存貯體上啟用跨區域複寫，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[為相同帳戶擁有的來源和目的地儲存貯體設定複](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-walkthrough1.html)寫。針對**來源儲存貯**體，選擇**套用至儲存貯體中的所有物件**。

## 【S3.8】 S3 一般用途儲存貯體應封鎖公開存取
<a name="s3-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.1.4、CIS AWS Foundations Benchmark v3.0.02.1.4、CIS AWS Foundations Benchmark v1.4.0/2.1.5、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7。 NIST.800-53.r5 SC-7 

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**高

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html)

**排程類型：**已觸發變更

**參數：**
+ `excludedPublicBuckets` （不可自訂） – 以逗號分隔的已知允許公有 S3 儲存貯體名稱清單

此控制項會檢查 Amazon S3 一般用途儲存貯體是否封鎖儲存貯體層級的公開存取。如果下列任一設定設定為 ，則控制項會失敗`false`：
+ `ignorePublicAcls`
+ `blockPublicPolicy`
+ `blockPublicAcls`
+ `restrictPublicBuckets`

在 S3 儲存貯體層級封鎖公開存取提供控制項，以確保物件絕不具有公開存取。透過存取控制清單 (ACL)、儲存貯體政策或兩者來授予對儲存貯體和物件的公開存取許可。

除非您打算公開存取 S3 儲存貯體，否則您應該設定儲存貯體層級的 Amazon S3 封鎖公開存取功能。

### 修補
<a name="s3-8-remediation"></a>

如需有關如何在儲存貯體層級移除公有存取權的資訊，請參閱《[Amazon S3 使用者指南》中的封鎖對 Amazon S3 儲存體的公有存取權](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html)。 *Amazon S3 *

## 【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄
<a name="s3-9"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.8000-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已為 Amazon S3 一般用途儲存貯體啟用伺服器存取記錄。如果未啟用伺服器存取記錄，則控制項會失敗。啟用記錄功能時，Amazon S3 會將來源儲存貯體的存取日誌傳送到選擇的目標儲存貯體。目標儲存貯體必須與來源儲存貯體位於相同的 AWS 區域 中，且不得設定預設保留期。目標記錄儲存貯體不需要啟用伺服器存取記錄，而且您應該隱藏此儲存貯體的問題清單。

伺服器存取記錄提供對儲存貯體提出之請求的詳細記錄。伺服器存取日誌可協助安全和存取稽核。如需詳細資訊，請參閱 [Amazon S3 的安全最佳實務：啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html)。

### 修補
<a name="s3-9-remediation"></a>

若要啟用 Amazon S3 伺服器存取記錄，請參閱《[Amazon S3 使用者指南》中的啟用 Amazon S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-server-access-logging.html)。 *Amazon S3 *

## 【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態
<a name="s3-10"></a>

**相關需求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-version-lifecycle-policy-check.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 一般用途版本控制的儲存貯體是否具有生命週期組態。如果儲存貯體沒有生命週期組態，則控制項會失敗。

建議您為 S3 儲存貯體建立生命週期組態，以協助您定義您希望 Amazon S3 在物件生命週期內採取的動作。

### 修補
<a name="s3-10-remediation"></a>

如需在 Amazon S3 儲存貯體上設定生命週期的詳細資訊，請參閱在[儲存貯體上設定生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)和管理[儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。

## 【S3.11】 S3 一般用途儲存貯體應啟用事件通知
<a name="s3-11"></a>

**相關需求：**NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(4)、NIST.800-171.r2 3.3.8

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-event-notifications-enabled.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `eventTypes`  |  偏好的 S3 事件類型清單  |  EnumList （最多 28 個項目）  |  `s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent`  |  無預設值  | 

此控制項會檢查 Amazon S3 一般用途儲存貯體上是否啟用 S3 事件通知。 Amazon S3 如果未在儲存貯體上啟用 S3 事件通知，則控制項會失敗。如果您為 `eventTypes` 參數提供自訂值，則只有在為指定類型的事件啟用事件通知時，控制項才會傳遞。

當您啟用 S3 事件通知時，您會在發生影響 S3 儲存貯體的特定事件時收到提醒。例如，您可以收到物件建立、物件移除和物件還原的通知。這些通知可以提醒相關團隊，可能導致未經授權的資料存取的意外或刻意修改。

### 修補
<a name="s3-11-remediation"></a>

如需有關偵測 S3 儲存貯體和物件變更的資訊，請參閱[《Amazon S3 使用者指南》中的 Amazon S3 事件通知](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html)。 *Amazon S3 *

## 【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取
<a name="s3-12"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6

**類別：**保護 > 安全存取控制 > 存取控制

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-acl-prohibited.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否提供具有存取控制清單 (ACL) 的使用者許可。如果 ACL 設定為管理儲存貯體上的使用者存取權，則控制項會失敗。

ACLs是早於 IAM 的舊版存取控制機制。建議使用 S3 儲存貯體政策或 AWS Identity and Access Management (IAM) 政策來管理對 S3 儲存貯體的存取，而不是 ACLs。

### 修補
<a name="s3-12-remediation"></a>

若要傳遞此控制項，您應該停用 S3 儲存貯體ACLs。如需說明，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[控制物件的擁有權和停用儲存貯體ACLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)。

若要建立 S3 儲存貯體政策，請參閱[使用 Amazon S3 主控台新增儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。若要在 S3 儲存貯體上建立 IAM 使用者政策，請參閱[使用使用者政策控制對儲存貯體的存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html#walkthrough-grant-user1-permissions)。

## 【S3.13】 S3 一般用途儲存貯體應具有生命週期組態
<a name="s3-13"></a>

**相關需求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

**類別：**保護 > 資料保護 

**嚴重性：**低

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `targetTransitionDays`  |  當物件轉換為指定的儲存類別時，物件建立後的天數  |  Integer  |  `1` 至 `36500`  |  無預設值  | 
|  `targetExpirationDays`  |  刪除物件時，物件建立後的天數  |  Integer  |  `1` 至 `36500`  |  無預設值  | 
|  `targetTransitionStorageClass`  |  目的地 S3 儲存類別類型  |  列舉  |  `STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE`  |  無預設值  | 

此控制項會檢查 Amazon S3 一般用途儲存貯體是否具有生命週期組態。如果儲存貯體沒有生命週期組態，則控制項會失敗。如果您為上述一或多個參數提供自訂值，則只有在政策包含指定的儲存類別、刪除時間或轉換時間時，控制項才會通過。

為 S3 儲存貯體建立生命週期組態會定義您希望 Amazon S3 在物件生命週期內採取的動作。例如，您可以將物件轉換至另一個儲存類別、封存物件，或在指定的期間內刪除物件。

### 修補
<a name="s3-13-remediation"></a>

如需有關在 Amazon S3 儲存貯體上設定生命週期政策的資訊，請參閱在[儲存貯體上設定生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html)，以及《*Amazon S3 使用者指南*》中的[管理您的儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。

## 【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制
<a name="s3-14"></a>

**類別：**保護 > 資料保護 > 資料刪除保護

**相關要求：**NIST.800-53.r5 AU-9(2)、NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)、NIST.800-171.r2 3.83.

**嚴重性：**低

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用版本控制。如果儲存貯體的版本控制已暫停，則控制項會失敗。

版本控制會將物件的多個變體保留在相同的 S3 儲存貯體中。您可以使用版本控制來保留、擷取和還原 S3 儲存貯體中存放的舊版物件。版本控制可協助您從意外的使用者動作和應用程式失敗中復原。

**提示**  
隨著儲存貯體中的物件數量因為版本控制而增加，您可以設定生命週期組態，根據規則自動封存或刪除版本控制的物件。如需詳細資訊，請參閱 [Amazon S3 Lifecycle Management for Versioned Objects](https://aws.amazon.com/blogs/aws/amazon-s3-lifecycle-management-update/)。

### 修補
<a name="s3-14-remediation"></a>

若要在 S3 儲存貯體上使用版本控制，請參閱《*Amazon S3 使用者指南*》中的在[儲存貯體上啟用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html)。

## 【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定
<a name="s3-15"></a>

**類別：**保護 > 資料保護 > 資料刪除保護

**相關要求：**NIST.800-53.r5 CP-6(2)、PCI DSS v4.0.1/10.5.1

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `mode`  |  S3 物件鎖定保留模式  |  列舉  |  `GOVERNANCE`, `COMPLIANCE`  |  無預設值  | 

此控制項會檢查 Amazon S3 一般用途儲存貯體是否已啟用物件鎖定。如果未針對儲存貯體啟用物件鎖定，則控制項會失敗。如果您為 `mode` 參數提供自訂值，則只有在 S3 物件鎖定使用指定的保留模式時，控制項才會通過。

您可以使用 S3 物件鎖定搭配「單寫多讀」(WORM) 模型來存放物件。物件鎖定有助於防止 S3 儲存貯體中的物件在固定時間內或無限期遭到刪除或覆寫。您可以使用 S3 物件鎖定，以滿足必須使用 WORM 儲存體的法規要求，或多加一道保護以免物件遭到變更和刪除。

### 修補
<a name="s3-15-remediation"></a>

若要為新的和現有的 S3 儲存貯體設定物件鎖定，請參閱《Amazon [ S3 使用者指南》中的設定 S3 物件鎖定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html)。 *Amazon S3 * 

## 【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys
<a name="s3-17"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**相關要求：**NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 SI-7(6)、NIST.800-53.r5 AU-9、NIST.800-171.r2 1.800 3.13.11 3.13.16

**嚴重性：**中

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 一般用途儲存貯體是否使用 AWS KMS key (SSE-KMS 或 DSSE-KMS) 加密。如果使用預設加密 (SSE-S3) 加密儲存貯體，則控制項會失敗。

伺服器端加密 (SSE) 是接收資料的應用程式或服務在其目的地對資料的加密。除非您另有指定，否則 S3 儲存貯體預設會使用 Amazon S3 受管金鑰 (SSE-S3) 進行伺服器端加密。不過，若要新增控制項，您可以選擇將儲存貯體設定為使用伺服器端加密搭配 AWS KMS keys (SSE-KMS 或 DSSE-KMS)。Amazon S3 會在將資料寫入 AWS 資料中心的磁碟時，在物件層級加密資料，並在您存取資料時將其解密。

### 修補
<a name="s3-17-remediation"></a>

若要使用 SSE-KMS 加密 S3 儲存貯體，請參閱《*Amazon S3 使用者指南*》中的[使用 AWS KMS (SSE-KMS) 指定伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。若要使用 DSSE-KMS 加密 S3 儲存貯體，請參閱《Amazon S3 *Amazon S3 * [使用者指南》中的使用 AWS KMS keys (DSSE-KMS) 指定雙層伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-dsse-encryption.html)。

## 【S3.19】 S3 存取點應啟用封鎖公開存取設定
<a name="s3-19"></a>

**相關要求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**嚴重

**資源類型：** `AWS::S3::AccessPoint`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-access-point-public-access-blocks.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 存取點是否已啟用封鎖公開存取設定。如果未為存取點啟用封鎖公開存取設定，則控制項會失敗。

Amazon S3 封鎖公開存取功能可協助您在三個層級管理對 S3 資源的存取：帳戶、儲存貯體和存取點層級。每個層級的設定可以獨立設定，讓您可以為資料設定不同層級的公有存取限制。存取點設定無法個別覆寫較高層級的更嚴格設定 （指派給存取點的帳戶層級或儲存貯體）。相反地，存取點層級的設定是累加的，這表示它們與其他層級的設定互補和搭配運作。除非您想要公開存取 S3 存取點，否則您應該啟用封鎖公開存取設定。

### 修補
<a name="s3-19-remediation"></a>

Amazon S3 目前不支援在建立存取點後變更存取點的封鎖公開存取權限設定。當您建立新的存取點時，預設會啟用所有封鎖公開存取設定。建議您啟用所有設定，除非您知道您有特別需要停用任一設定。如需詳細資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[管理存取點的公有存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-bpa-settings.html)。

## 【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除
<a name="s3-20"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/2.1.2、CIS AWS Foundations Benchmark v3.0.0/2.1.2、CIS AWS Foundations Benchmark v1.4.0/2.1.3、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

**類別：**保護 > 資料保護 > 資料刪除保護

**嚴重性：**低

**資源類型：** `AWS::S3::Bucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-mfa-delete-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查是否已為 Amazon S3 一般用途儲存貯體啟用多重驗證 (MFA) 刪除。如果儲存貯體未啟用 MFA 刪除，則控制項會失敗。控制項不會針對具有生命週期組態的儲存貯體產生問題清單。

如果您啟用 S3 一般用途儲存貯體的版本控制，您可以選擇透過設定儲存貯體的 MFA 刪除來新增另一層安全性。如果您這樣做，儲存貯體擁有者必須在任何請求中包含兩種形式的身分驗證，以刪除儲存貯體中的物件版本或變更儲存貯體的版本控制狀態。例如，如果儲存貯體擁有者的安全登入資料遭到入侵，MFA 刪除可提供額外的安全性。MFA 刪除也有助於防止意外刪除儲存貯體，方法是要求啟動刪除動作的使用者使用 MFA 程式碼來證明 MFA 裝置的實體擁有，這會為刪除動作新增額外的摩擦層和安全性。

**注意**  
只有在針對 S3 一般用途儲存貯體啟用 MFA 刪除時，此控制項才會產生`PASSED`調查結果。若要啟用儲存貯體的 MFA 刪除，也必須為儲存貯體啟用版本控制。儲存貯體版本控制是將 S3 物件的多種變化儲存在相同儲存貯體中的方法。此外，只有以根使用者身分登入的儲存貯體擁有者可以啟用 MFA 刪除，並在儲存貯體上執行刪除動作。您無法將 MFA 刪除與具有生命週期組態的儲存貯體搭配使用。

### 修補
<a name="s3-20-remediation"></a>

如需有關啟用版本控制和設定 S3 儲存貯體 MFA 刪除的資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 MFA 刪除](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)。

## 【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件
<a name="s3-22"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.8、CIS AWS Foundations Benchmark v3.0.0/3.8、PCI DSS v4.0.1/10.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-write-s3-data-event-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 是否至少 AWS 帳戶 有一個 AWS CloudTrail 多區域線索，可記錄 Amazon S3 儲存貯體的所有寫入資料事件。如果帳戶沒有記錄 S3 儲存貯體寫入資料事件的多區域線索，則控制項會失敗。

S3 物件層級操作，例如 `GetObject`、 `DeleteObject`和 `PutObject`，稱為資料事件。根據預設，CloudTrail 不會記錄資料事件，但您可以設定追蹤來記錄 S3 儲存貯體的資料事件。當您為寫入資料事件啟用物件層級記錄時，您可以記錄 S3 儲存貯體中的每個個別物件 （檔案） 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控 中使用者行為的特定模式 AWS 帳戶，以及使用 Amazon CloudWatch Events 對 S3 儲存貯體中的物件層級 API 活動採取動作。如果您設定多區域線索來記錄所有 S3 儲存貯體的唯讀或所有類型的資料事件，則此控制項會產生`PASSED`調查結果。

### 修補
<a name="s3-22-remediation"></a>

若要啟用 S3 儲存貯體的物件層級記錄，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[啟用 S3 儲存貯體和物件的 CloudTrail 事件記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。

## 【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件
<a name="s3-23"></a>

**相關要求：**CIS AWS Foundations Benchmark v5.0.0/3.9、CIS AWS Foundations Benchmark v3.0.0/3.9、PCI DSS v4.0.1/10.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-all-read-s3-data-event-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 是否至少 AWS 帳戶 有一個 AWS CloudTrail 多區域追蹤記錄 Amazon S3 儲存貯體的所有讀取資料事件。如果帳戶沒有記錄 S3 儲存貯體讀取資料事件的多區域線索，則控制項會失敗。

S3 物件層級操作，例如 `GetObject`、 `DeleteObject`和 `PutObject`，稱為資料事件。根據預設，CloudTrail 不會記錄資料事件，但您可以設定追蹤來記錄 S3 儲存貯體的資料事件。當您啟用讀取資料事件的物件層級記錄時，您可以記錄 S3 儲存貯體中的每個個別物件 （檔案） 存取。啟用物件層級記錄可協助您符合資料合規要求、執行全面的安全分析、監控 中使用者行為的特定模式 AWS 帳戶，以及使用 Amazon CloudWatch Events 對 S3 儲存貯體中的物件層級 API 活動採取動作。如果您設定多區域線索記錄所有 S3 儲存貯體的唯讀或所有類型的資料事件，則此控制項會產生`PASSED`調查結果。

### 修補
<a name="s3-23-remediation"></a>

若要啟用 S3 儲存貯體的物件層級記錄，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[啟用 S3 儲存貯體和物件的 CloudTrail 事件記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。

## 【S3.24】 S3 多區域存取點應啟用封鎖公開存取設定
<a name="s3-24"></a>

**相關要求：**PCI DSS v4.0.1/1.4.4

**類別：**保護 > 安全網路組態 > 資源不可公開存取

**嚴重性：**高

**資源類型：** `AWS::S3::MultiRegionAccessPoint`

**AWS Config rule：**`s3-mrap-public-access-blocked`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon S3 多區域存取點是否已啟用封鎖公開存取設定。當多區域存取點未啟用封鎖公開存取設定時，控制項會失敗。

可公開存取的資源可能會導致未經授權的存取、資料外洩或漏洞遭到利用。透過身分驗證和授權措施限制存取有助於保護敏感資訊和維護資源的完整性。

### 修補
<a name="s3-24-remediation"></a>

根據預設，會針對 S3 多區域存取點啟用所有封鎖公開存取設定。如需詳細資訊，請參閱《[Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 多區域存取點封鎖公開存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/multi-region-access-point-block-public-access.html)。 **在建立多區域存取點的封鎖公開存取設定後，您便無法再變更設定。

## 【S3.25】 S3 目錄儲存貯體應該具有生命週期組態
<a name="s3-25"></a>

**類別：**保護 > 資料保護

**嚴重性：**低

**資源類型：** `AWS::S3Express::DirectoryBucket`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html](https://docs.aws.amazon.com/config/latest/developerguide/s3express-dir-bucket-lifecycle-rules-check.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `targetExpirationDays`  |  物件建立後物件應過期的天數。  |  Integer  |  `1` 至 `2147483647`  |  無預設值  | 

此控制項會檢查是否已為 S3 目錄儲存貯體設定生命週期規則。如果未針對目錄儲存貯體設定生命週期規則，或儲存貯體的生命週期規則指定不符合您選擇性指定之參數值的過期設定，則控制項會失敗。

在 Amazon S3 中，生命週期組態是一組規則，定義 Amazon S3 要套用至儲存貯體中一組物件的動作。對於 S3 目錄儲存貯體，您可以建立生命週期規則，指定物件何時會根據存留期 （以天為單位） 過期。您也可以建立生命週期規則，刪除未完成的分段上傳。與其他類型的 S3 儲存貯體不同，例如一般用途儲存貯體，目錄儲存貯體不支援生命週期規則的其他動作類型，例如在儲存類別之間轉換物件。

### 修補
<a name="s3-25-remediation"></a>

若要定義 S3 目錄儲存貯體的生命週期組態，請為儲存貯體建立生命週期規則。如需詳細資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[建立和管理目錄儲存貯體的生命週期組態](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-bucket-create-lc.html)。

# SageMaker AI 的 Security Hub CSPM 控制
<a name="sagemaker-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon SageMaker AI 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取
<a name="sagemaker-1"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態

**嚴重性：**高

**資源類型：** `AWS::SageMaker::NotebookInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否停用 SageMaker AI 筆記本執行個體的直接網際網路存取。如果筆記本執行個體已啟用 `DirectInternetAccess` 欄位，則控制項會失敗。

如果您在沒有 VPC 的情況下設定 SageMaker AI 執行個體，則執行個體預設會啟用直接網際網路存取。您應該使用 VPC 設定執行個體，並將預設設定變更為**停用 - 透過 VPC 存取網際網路**。若要從筆記本訓練或託管模型，您需要網際網路存取。若要啟用網際網路存取，您的 VPC 必須具有界面端點 (AWS PrivateLink) 或 NAT 閘道，以及允許傳出連線的安全群組。若要進一步了解如何將筆記本執行個體連線至 VPC 中的資源，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[將筆記本執行個體連線至 VPC 中的資源](https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html)。您也應該確保對 SageMaker AI 組態的存取僅限於授權的使用者。限制允許使用者變更 SageMaker AI 設定和資源的 IAM 許可。

### 修補
<a name="sagemaker-1-remediation"></a>

您無法在建立筆記本執行個體後變更網際網路存取設定。反之，您可以停止、刪除和重新建立具有封鎖網際網路存取的執行個體。若要刪除允許直接網際網路存取的筆記本執行個體，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[使用筆記本執行個體建置模型：清除](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html)。若要重新建立拒絕網際網路存取的筆記本執行個體，請參閱[建立筆記本執行個體](https://docs.aws.amazon.com/sagemaker/latest/dg/howitworks-create-ws.html)。針對**網路、直接網際網路存取**，選擇**停用 - 透過 VPC 存取網際網路**。

## 【SageMaker.2] 應在自訂 VPC 中啟動 SageMaker 筆記本執行個體
<a name="sagemaker-2"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > VPC 內的資源

**嚴重性：**高

**資源類型：** `AWS::SageMaker::NotebookInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-inside-vpc.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否在自訂虛擬私有雲端 (VPC) 中啟動 Amazon SageMaker AI 筆記本執行個體。如果未在自訂 VPC 中啟動 SageMaker AI 筆記本執行個體，或在 SageMaker AI 服務 VPC 中啟動，則此控制會失敗。

子網路是 VPC 內的 IP 地址範圍。我們建議您盡可能將資源保留在自訂 VPC 中，以確保基礎設施的安全網路保護。Amazon VPC 是您的專用虛擬網路 AWS 帳戶。使用 Amazon VPC，您可以控制 SageMaker AI Studio 和筆記本執行個體的網路存取和網際網路連線。

### 修補
<a name="sagemaker-2-remediation"></a>

您無法在建立筆記本執行個體之後變更 VPC 設定。反之，您可以停止、刪除和重新建立執行個體。如需說明，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[使用筆記本執行個體建置模型：清除](https://docs.aws.amazon.com/sagemaker/latest/dg/ex1-cleanup.html)。

## 【SageMaker.3] 使用者不應擁有 SageMaker 筆記本執行個體的根存取權
<a name="sagemaker-3"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(10)、NIST.800-53.r5 AC-6(2)

**類別：**保護 > 安全存取管理 > 根使用者存取限制

**嚴重性：**高

**資源類型：** `AWS::SageMaker::NotebookInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-root-access-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已開啟 Amazon SageMaker AI 筆記本執行個體的根存取權。如果 SageMaker AI 筆記本執行個體的根存取已開啟，則控制項會失敗。

根據最低權限的主體，建議安全最佳實務是限制執行個體資源的根存取權，以避免意外過度佈建許可。

### 修補
<a name="sagemaker-3-remediation"></a>

若要限制對 SageMaker AI 筆記本執行個體的根存取權，請參閱[《Amazon SageMaker AI 開發人員指南》中的控制對 SageMaker AI 筆記本執行個體的根存取權](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-root-access.html)。 *Amazon SageMaker *

## 【SageMaker.4] SageMaker 端點生產變體的初始執行個體計數應大於 1
<a name="sagemaker-4"></a>

**相關需求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SA-13

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::SageMaker::EndpointConfig`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-config-prod-instance-count.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon SageMaker AI 端點的生產變體是否具有大於 1 的初始執行個體計數。如果端點的生產變體只有 1 個初始執行個體，則控制項會失敗。

執行個體計數大於 1 的生產變體允許由 SageMaker AI 管理的多可用區域執行個體備援。在多個可用區域部署資源是 AWS 最佳實務，可在您的架構中提供高可用性。高可用性可協助您從安全事件中復原。

**注意**  
此控制項僅適用於執行個體型端點組態。

### 修補
<a name="sagemaker-4-remediation"></a>

如需端點組態參數的詳細資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[建立端點組態](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints-create.html#serverless-endpoints-create-config)。

## 【SageMaker.5] SageMaker 模型應該啟用網路隔離
<a name="sagemaker-5"></a>

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**中

**資源類型：** `AWS::SageMaker::Model`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-isolation-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SageMaker AI 託管模型是否已啟用網路隔離。如果託管模型的 `EnableNetworkIsolation` 參數設定為 ，則控制項會失敗`False`。

SageMaker AI 訓練和部署的推論容器預設可以使用網際網路。如果您不希望 SageMaker AI 提供訓練或推論容器的外部網路存取權，您可以啟用網路隔離。如果您啟用網路隔離，則無法對模型容器進行傳入或傳出網路呼叫，包括對其他容器進行呼叫 AWS 服務。此外，容器執行期環境不會提供任何 AWS 登入資料。啟用網路隔離有助於防止從網際網路意外存取 SageMaker AI 資源。

**注意**  
2025 年 8 月 13 日，Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更準確地反映控制項會檢查 Amazon SageMaker AI 託管模型`EnableNetworkIsolation`參數的設定。先前，此控制項的標題為：*SageMaker models should block inbound traffic*。

### 修補
<a name="sagemaker-5-remediation"></a>

如需 SageMaker AI 模型網路隔離的詳細資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[以無網際網路模式執行訓練和推論容器](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)。建立模型時，您可以將 `EnableNetworkIsolation` 參數的值設定為 ，以啟用網路隔離`True`。

## 【SageMaker.6] 應標記 SageMaker 應用程式映像組態
<a name="sagemaker-6"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SageMaker::AppImageConfig`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-app-image-config-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤金鑰清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon SageMaker AI 應用程式映像組態 (`AppImageConfig`) 是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果應用程式映像組態沒有任何標籤索引鍵，或它沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果應用程式映像組態沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，系統標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="sagemaker-6-remediation"></a>

若要將標籤新增至 Amazon SageMaker AI 應用程式映像組態 (`AppImageConfig`)，您可以使用 SageMaker AI API 的 [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) 命令。

## 【SageMaker.7] 應標記 SageMaker 映像
<a name="sagemaker-7"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SageMaker::Image`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-image-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon SageMaker AI 映像是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果映像沒有任何標籤索引鍵，或其沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果映像沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="sagemaker-7-remediation"></a>

若要將標籤新增至 Amazon SageMaker AI 映像，您可以使用 SageMaker AI API 的 [AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [add-tags](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/add-tags.html) 命令。

## 【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行
<a name="sagemaker-8"></a>

**類別：**偵測 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::SageMaker::NotebookInstance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-instance-platform-version.html)

**排程類型：**定期

**參數：**
+ `supportedPlatformIdentifierVersions`：`notebook-al2-v3`（不可自訂）

此控制項會根據筆記本執行個體指定的平台識別符，檢查 Amazon SageMaker AI 筆記本執行個體是否設定為在支援的平台上執行。如果筆記本執行個體設定為在不再支援的平台上執行，則控制項會失敗。

如果不再支援 Amazon SageMaker AI 筆記本執行個體的 平台，則可能不會收到安全修補程式、錯誤修正或其他類型的更新。筆記本執行個體可能會繼續運作，但不會收到 SageMaker AI 安全性更新或重大錯誤修正。您承擔使用不支援平台的相關風險。如需詳細資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的 [JupyterLab 版本控制](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-jl.html)。

### 修補
<a name="sagemaker-8-remediation"></a>

如需有關 Amazon SageMaker AI 目前支援的平台以及如何遷移到這些平台的資訊，請參閱《[Amazon SageMaker AI 開發人員指南》中的 Amazon Linux 2 筆記本執行個體](https://docs.aws.amazon.com/sagemaker/latest/dg/nbi-al2.html)。 *Amazon SageMaker *

## 【SageMaker.9] SageMaker 資料品質任務定義應該啟用容器間流量加密
<a name="sagemaker-9"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-encrypt-in-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SageMaker AI 資料品質任務定義是否已啟用容器間流量的加密。如果監控資料品質和偏離的任務定義未針對容器間流量啟用加密，則控制項會失敗。

啟用容器間流量加密可在分散式處理期間保護敏感 ML 資料，以進行資料品質分析。

### 修補
<a name="sagemaker-9-remediation"></a>

如需 Amazon SageMaker AI 容器間流量加密的詳細資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[保護分散式訓練任務中 ML 運算執行個體之間的通訊](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html)。建立資料品質任務定義時，您可以將 `EnableInterContainerTrafficEncryption` 參數的值設定為 ，以啟用容器間流量加密`True`。

## 【SageMaker.10] SageMaker 模型可解釋性任務定義應啟用容器間流量加密
<a name="sagemaker-10"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::SageMaker::ModelExplainabilityJobDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-explainability-job-encrypt-in-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SageMaker 模型可解釋性任務定義是否已啟用容器間流量加密。如果模型可解釋性任務定義未啟用容器間流量加密，則控制項會失敗。

啟用容器間流量加密可在分散式處理期間保護敏感 ML 資料，例如模型資料、訓練資料集、中繼處理結果、參數和模型權重，以進行可解釋性分析。

### 修補
<a name="sagemaker-10-remediation"></a>

對於現有的 SageMaker 模型可解釋性任務定義，無法更新容器間流量加密。若要在啟用容器間流量加密的情況下建立新的 SageMaker 模型可解釋性任務定義，請使用 [API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelExplainabilityJobDefinition.html) 或 [CLI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/create-model-explainability-job-definition.html) 或 [ CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sagemaker-modelexplainabilityjobdefinition.html)，並將 [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_MonitoringNetworkConfig.html#API_MonitoringNetworkConfig_Contents)設定為 `True`。

## 【SageMaker.11] SageMaker 資料品質任務定義應該啟用網路隔離
<a name="sagemaker-11"></a>

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::SageMaker::DataQualityJobDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-data-quality-job-isolation.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SageMaker AI 資料品質監控任務定義是否已啟用網路隔離。如果監控資料品質和偏離的任務定義已停用網路隔離，則控制項會失敗。

網路隔離可減少攻擊。 會浮現並防止外部存取，藉此防止未經授權的外部存取、意外資料暴露和潛在的資料外洩。

### 修補
<a name="sagemaker-11-remediation"></a>

如需 SageMaker AI 網路隔離的詳細資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的[以無網際網路模式執行訓練和推論容器](https://docs.aws.amazon.com/sagemaker/latest/dg/mkt-algo-model-internet-free.html)。當您建立資料品質任務定義時，您可以將 `EnableNetworkIsolation` 參數的值設定為 來啟用網路隔離`True`。

## 【SageMaker.12] SageMaker 模型偏差任務定義應該啟用網路隔離
<a name="sagemaker-12"></a>

**類別：**保護 > 安全網路組態 > 資源政策組態

**嚴重性：**中

**資源類型：** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-isolation.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 SageMaker 模型偏差任務定義是否已啟用網路隔離。如果模型偏差任務定義未啟用網路隔離，則控制項會失敗。

網路隔離可防止 SageMaker 模型偏差任務透過網際網路與外部資源通訊。透過啟用網路隔離，您可以確保任務的容器無法進行傳出連線，減少攻擊面並保護敏感資料免於洩漏。這對處理受管制或敏感資料的任務尤其重要。

### 修補
<a name="sagemaker-12-remediation"></a>

若要啟用網路隔離，您必須建立新的模型偏差任務定義，並將 `EnableNetworkIsolation` 參數設為 `True`。建立任務定義後，無法修改網路隔離。若要建立新的模型偏差任務定義，請參閱《*Amazon SageMaker AI 開發人員指南*》中的 [ CreateModelBiasJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelBiasJobDefinition.html)。

## 【SageMaker.13] SageMaker 模型品質任務定義應該啟用容器間流量加密
<a name="sagemaker-13"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::SageMaker::ModelQualityJobDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-quality-job-encrypt-in-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SageMaker 模型品質任務定義是否針對容器間流量啟用傳輸中加密。如果模型品質任務定義未啟用容器間流量加密，則控制項會失敗。

容器間流量加密可在分散式模型品質監控任務期間保護容器之間傳輸的資料。根據預設，容器間流量不會加密。啟用加密有助於在處理期間維護資料機密性，並支援符合傳輸中資料保護的法規要求。

### 修補
<a name="sagemaker-13-remediation"></a>

若要為 Amazon SageMaker 模型品質任務定義啟用容器間流量加密，您必須使用適當的傳輸中加密組態重新建立任務定義。若要建立模型品質任務定義，請參閱《*Amazon SageMaker AI 開發人員指南*》中的 [ CreateModelQualityJobDefinition](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelQualityJobDefinition.html)。

## 【SageMaker.14] SageMaker 監控排程應該啟用網路隔離
<a name="sagemaker-14"></a>

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::SageMaker::MonitoringSchedule`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-monitoring-schedule-isolation.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SageMaker 監控排程是否已啟用網路隔離。如果監控排程將 EnableNetworkIsolation 設定為 false 或未設定，則控制項會失敗

網路隔離可防止監控任務進行傳出網路呼叫，透過消除容器的網際網路存取來減少攻擊面。

### 修補
<a name="sagemaker-14-remediation"></a>

如需有關在建立或更新監控排程時在 NetworkConfig 參數中設定網路隔離的資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的 [CreateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html) 或 [ UpdateMonitoringSchedule](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateMonitoringSchedule.html)。

## 【SageMaker.15] SageMaker 模型偏差任務定義應該啟用容器間流量加密
<a name="sagemaker-15"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::SageMaker::ModelBiasJobDefinition`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-model-bias-job-encrypt-in-transit.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查使用多個運算執行個體時，Amazon SageMaker 模型偏差任務定義是否已啟用容器間流量加密。如果 `EnableInterContainerTrafficEncryption`設定為 false，或未針對執行個體計數為 2 或更高的任務定義設定 ，則控制項會失敗。

EInter 容器流量加密可在分散式模型偏差監控任務期間保護運算執行個體之間傳輸的資料。加密可防止未經授權存取模型相關資訊，例如執行個體之間傳輸的權重。

### 修補
<a name="sagemaker-15-remediation"></a>

若要啟用 SageMaker 模型偏差任務定義的容器間流量加密，請在任務定義使用多個運算執行個體`True`時，將 `EnableInterContainerTrafficEncryption` 參數設定為 。如需有關保護 ML 運算執行個體之間通訊的資訊，請參閱《*Amazon SageMaker AI 開發人員指南*》中的在[分散式訓練任務中保護 ML 運算執行個體之間的通訊](https://docs.aws.amazon.com/sagemaker/latest/dg/train-encrypt.html)。

# Secrets Manager 的 Security Hub CSPM 控制項
<a name="secretsmanager-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Secrets Manager 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換
<a name="secretsmanager-1"></a>

**相關要求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**類別：**保護 > 安全開發

**嚴重性：**中

**資源類型：** `AWS::SecretsManager::Secret`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `maximumAllowedRotationFrequency`  |  允許秘密輪換頻率的天數上限  |  Integer  |  `1` 至 `365`  |  無預設值  | 

此控制項 AWS Secrets Manager 會檢查存放在 中的秘密是否已設定自動輪換。如果未使用自動輪換設定秘密，則控制項會失敗。如果您為 `maximumAllowedRotationFrequency` 參數提供自訂值，則只有在指定的時段內自動輪換秘密時，控制項才會通過。

Secrets Manager 可協助您改善組織的安全狀態。秘密包括資料庫登入資料、密碼和第三方 API 金鑰。您可以使用 Secrets Manager 集中存放秘密、自動加密秘密、控制對秘密的存取，以及安全自動輪換秘密。

Secrets Manager 可以輪換秘密。您可以使用輪換將長期秘密取代為短期秘密。輪換您的秘密會限制未經授權的使用者使用洩露秘密的時間長度。因此，您應該經常輪換秘密。若要進一步了解輪換，請參閱*AWS Secrets Manager 《 使用者指南*》中的[輪換您的 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

### 修補
<a name="secretsmanager-1-remediation"></a>

若要開啟 Secrets Manager 秘密的自動輪換，請參閱*AWS Secrets Manager 《 使用者指南*》中的[使用主控台設定 AWS Secrets Manager 秘密的自動輪換](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)。您必須選擇並設定 AWS Lambda 函數以進行輪換。

## 【SecretsManager.2] 設定自動輪換的 Secrets Manager 秘密應能成功輪換
<a name="secretsmanager-2"></a>

**相關要求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**類別：**保護 > 安全開發

**嚴重性：**中

**資源類型：** `AWS::SecretsManager::Secret`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS Secrets Manager 秘密是否根據輪換排程成功輪換。如果 `RotationOccurringAsScheduled`為 ，則控制項會失敗`false`。控制項只會評估已開啟輪換的秘密。

Secrets Manager 可協助您改善組織的安全狀態。秘密包括資料庫登入資料、密碼和第三方 API 金鑰。您可以使用 Secrets Manager 集中存放秘密、自動加密秘密、控制對秘密的存取，以及安全自動輪換秘密。

Secrets Manager 可以輪換秘密。您可以使用輪換將長期秘密取代為短期秘密。輪換您的秘密會限制未經授權的使用者使用洩露秘密的時間長度。因此，您應該經常輪換秘密。

除了將秘密設定為自動輪換之外，您也應該確保這些秘密會根據輪換排程成功輪換。

若要進一步了解輪換，請參閱*AWS Secrets Manager 《 使用者指南*》中的[輪換您的 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

### 修補
<a name="secretsmanager-2-remediation"></a>

如果自動輪換失敗，則 Secrets Manager 可能遇到組態錯誤。若要在 Secrets Manager 中輪換秘密，您可以使用 Lambda 函數來定義如何與擁有秘密的資料庫或服務互動。

如需診斷和修正與秘密輪換相關的常見錯誤的說明，請參閱*AWS Secrets Manager 《 使用者指南*》中的對[秘密 AWS Secrets Manager 輪換進行故障診斷](https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html)。

## 【SecretsManager.3] 移除未使用的 Secrets Manager 秘密
<a name="secretsmanager-3"></a>

**相關需求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::SecretsManager::Secret`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `unusedForDays`  |  秘密可以保持未使用的天數上限  |  Integer  |  `1` 至 `365`  |  `90`  | 

此控制項會檢查是否已在指定的時間範圍內存取 AWS Secrets Manager 秘密。如果秘密在指定的時間範圍內未使用，則控制項會失敗。除非您提供存取期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 90 天。

刪除未使用的秘密與輪換秘密一樣重要。未使用的秘密可能會被其前使用者濫用，他們不再需要存取這些秘密。此外，隨著更多使用者可以存取秘密，有人可能會不當處理秘密並將其洩漏給未經授權的實體，進而增加濫用的風險。刪除未使用的秘密有助於從不再需要的使用者撤銷秘密存取。它也有助於降低使用 Secrets Manager 的成本。因此，定期刪除未使用的秘密至關重要。

### 修補
<a name="secretsmanager-3-remediation"></a>

若要刪除非作用中的 Secrets Manager 秘密，請參閱*AWS Secrets Manager 《 使用者指南*》中的[刪除 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_delete-secret.html)。

## 【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換
<a name="secretsmanager-4"></a>

**相關要求：**NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3(15)、PCI DSS v4.0.1/8.6.3、PCI DSS v4.0.1/8.3.9

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::SecretsManager::Secret`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `maxDaysSinceRotation`  |  秘密可保持不變的天數上限  |  Integer  |  `1` 至 `180`  |  `90`  | 

此控制項會檢查 AWS Secrets Manager 秘密是否在指定的時間範圍內至少輪換一次。如果至少此頻率未輪換秘密，則控制項會失敗。除非您提供輪換期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 90 天。

輪換秘密可協助您降低在 中未經授權使用秘密的風險 AWS 帳戶。範例包括資料庫登入資料、密碼、第三方 API 金鑰，甚至是任意文字。如果您長時間不變更秘密，則更有可能洩露秘密。

隨著更多使用者可以存取秘密，有人可能會不當處理秘密並將其洩漏給未經授權的實體。秘密可以透過日誌和快取資料洩漏。它們可以針對除錯目的共用，而在除錯完成之後未變更或撤銷。由於上述所有原因，秘密應該經常輪換。

您可以為 中的秘密設定自動輪換 AWS Secrets Manager。透過自動輪換，您可以將長期秘密取代為短期秘密，大幅降低入侵的風險。建議您為 Secrets Manager 秘密設定自動輪換。如需更多詳細資訊，請參閱 *AWS Secrets Manager 使用者指南*中的[輪換 AWS Secrets Manager 密碼](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。

### 修補
<a name="secretsmanager-4-remediation"></a>

若要開啟 Secrets Manager 秘密的自動輪換，請參閱*AWS Secrets Manager 《 使用者指南*》中的[使用主控台設定 AWS Secrets Manager 秘密的自動輪換](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_turn-on-for-other.html)。您必須選擇並設定 AWS Lambda 函數以進行輪換。

## 【SecretsManager.5] Secrets Manager 秘密應加上標籤
<a name="secretsmanager-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SecretsManager::Secret`

**AWS Config rule：**`tagged-secretsmanager-secret`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Secrets Manager 秘密是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果秘密沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果秘密未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="secretsmanager-5-remediation"></a>

若要將標籤新增至 Secrets Manager 秘密，請參閱*AWS Secrets Manager 《 使用者指南*》中的[標籤 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managing-secrets_tagging.html)。

# 的 Security Hub CSPM 控制項 AWS Service Catalog
<a name="servicecatalog-controls"></a>

此 AWS Security Hub CSPM 控制項會評估 AWS Service Catalog 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用
<a name="servicecatalog-1"></a>

**相關需求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-6、NIST.800-53.r5 CM-8、NIST.800-53.r5 SC-7

**類別：**保護 > 安全存取管理

**嚴重性：**中

**資源類型：** `AWS::ServiceCatalog::Portfolio`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html](https://docs.aws.amazon.com/config/latest/developerguide/service-catalog-shared-within-organization.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會在啟用與 AWS Organizations 的整合時，檢查 是否在組織內 AWS Service Catalog 共用產品組合。如果未在組織內共用產品組合，則控制項會失敗。

僅在 Organizations 內共用產品組合有助於確保產品組合不會與不正確的 共用 AWS 帳戶。若要與組織中的帳戶共用 Service Catalog 產品組合，Security Hub CSPM 建議使用 `ORGANIZATION_MEMBER_ACCOUNT`而非 `ACCOUNT`。這透過管理在整個組織中授予帳戶的存取權來簡化管理。如果您有業務需要與外部帳戶共用 Service Catalog 產品組合，您可以[自動隱藏此控制項](automation-rules.md)的問題清單或[將其停用](disable-controls-overview.md)。

### 修補
<a name="servicecatalog-1-remediation"></a>

若要啟用與 共用產品組合 AWS Organizations，請參閱《 *AWS Service Catalog 管理員指南*》中的[與 共用 AWS Organizations](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/catalogs_portfolios_sharing_how-to-share.html#portfolio-sharing-organizations)。

# Amazon SES 的 Security Hub CSPM 控制項
<a name="ses-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Simple Email Service (Amazon SES服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SES.1】 SES 聯絡人清單應加上標籤
<a name="ses-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SES::ContactList`

**AWS Config rule：**`tagged-ses-contactlist`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon SES 聯絡人清單是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果聯絡人清單沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果聯絡人清單未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ses-1-remediation"></a>

若要將標籤新增至 Amazon SES 聯絡人清單，請參閱《*Amazon SES API v2 參考*》中的 [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)。

## 【SES.2】 SES 組態集應加上標籤
<a name="ses-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SES::ConfigurationSet`

**AWS Config rule：**`tagged-ses-configurationset`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 Amazon SES 組態設定是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果組態集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果組態集未標記任何索引鍵，則 控制項會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="ses-2-remediation"></a>

若要將標籤新增至 Amazon SES 組態設定，請參閱《*Amazon SES API v2 參考*》中的 [TagResource](https://docs.aws.amazon.com/ses/latest/APIReference-V2/API_TagResource.html)。

## 【SES.3】 SES 組態集應啟用 TLS 以傳送電子郵件
<a name="ses-3"></a>

**類別：**保護 > 資料保護 > data-in-transit加密 

**嚴重性：**中

**資源類型：** `AWS::SES::ConfigurationSet`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html](https://docs.aws.amazon.com/config/latest/developerguide/ses-sending-tls-required.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SES 組態設定是否需要 TLS 連線。如果組態設定的 TLS 政策未設定為 `'REQUIRE'` ，則控制項會失敗。

根據預設，Amazon SES 使用機會式 TLS，這表示如果無法與接收郵件伺服器建立 TLS 連線，則可以未加密地傳送電子郵件。為電子郵件傳送強制執行 TLS 可確保訊息只有在可以建立安全加密連線時才會傳遞。這有助於在 Amazon SES 與收件人郵件伺服器之間的傳輸期間保護電子郵件內容的機密性和完整性。如果無法建立安全 TLS 連線，則不會傳送訊息，以防止可能暴露敏感資訊。

**注意**  
雖然 TLS 1.3 是 Amazon SES 的預設交付方法，但不透過組態設定強制執行 TLS 要求，但如果 TLS 連線失敗，訊息可能會以純文字交付。若要傳遞此控制項，您必須在 SES 組態集的交付選項`'REQUIRE'`中將 TLS 政策設定為 。需要 TLS 時，只有在可與接收郵件伺服器建立 TLS 連線時，才會傳遞訊息。

### 修補
<a name="ses-3-remediation"></a>

若要將 Amazon SES 設定為需要組態設定的 TLS 連線，請參閱[《Amazon SES 開發人員指南》中的 Amazon SES 和安全性通訊協定](https://docs.aws.amazon.com/ses/latest/dg/security-protocols.html#security-ses-to-receiver)。 *Amazon SES *

# Amazon SNS 的 Security Hub CSPM 控制項
<a name="sns-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Simple Notification Service (Amazon SNS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS
<a name="sns-1"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.11、NIST.800-171.r2 3.13.16

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::SNS::Topic`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SNS 主題是否使用 AWS Key Management Service () 中管理的金鑰進行靜態加密AWS KMS。如果 SNS 主題不使用 KMS 金鑰進行伺服器端加密 (SSE)，則控制項會失敗。根據預設，SNS 會使用磁碟加密來存放訊息和檔案。若要傳遞此控制項，您必須選擇改用 KMS 金鑰進行加密。這增加了多一層的安全性，並提供更多的存取控制彈性。

加密靜態資料可降低未驗證的使用者存取磁碟上儲存的資料的風險 AWS。需要 API 許可才能解密資料，才能讀取資料。我們建議您使用 KMS 金鑰加密 SNS 主題，以增加一層安全性。

### 修補
<a name="sns-1-remediation"></a>

若要為 SNS 主題啟用 SSE，請參閱《[Amazon Simple Notification Service 開發人員指南》中的為 Amazon SNS 主題啟用伺服器端加密 (SSE)](https://docs.aws.amazon.com/sns/latest/dg/sns-enable-encryption-for-topic.html)。 **在使用 SSE 之前，您還必須設定 AWS KMS key 政策，以允許加密主題和加密和解密訊息。如需詳細資訊，請參閱《*Amazon Simple Notification Service 開發人員指南*》中的[設定 AWS KMS 許可](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html#sns-what-permissions-for-sse)。

## 【SNS.2】 應針對傳送至主題的通知訊息啟用傳遞狀態記錄
<a name="sns-2"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**相關要求：**NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::SNS::Topic`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-message-delivery-notification-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已針對傳送至端點 Amazon SNS 主題的通知訊息傳送狀態啟用記錄。如果未啟用訊息的傳遞狀態通知，則此控制項會失敗。

記錄是維護 服務的可靠性、可用性和效能的重要部分。記錄訊息傳遞狀態有助於提供操作洞察，例如：
+ 得知訊息是否已傳遞至 Amazon SNS 端點。
+ 識別從 Amazon SNS 端點傳送至 Amazon SNS 的回應。
+ 判斷訊息駐留時間 （發佈時間戳記與遞交至 Amazon SNS 端點之間的時間）。

### 修補
<a name="sns-2-remediation"></a>

若要設定主題的交付狀態記錄，請參閱[《Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 訊息交付狀態](https://docs.aws.amazon.com/sns/latest/dg/sns-topic-attributes.html)。 **

## 【SNS.3】 SNS 主題應加上標籤
<a name="sns-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SNS::Topic`

**AWS Config rule：**`tagged-sns-topic`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon SNS 主題是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果主題沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果主題未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="sns-3-remediation"></a>

若要將標籤新增至 SNS 主題，請參閱[《Amazon Simple Notification Service 開發人員指南》中的設定 Amazon SNS 主題標籤](https://docs.aws.amazon.com/sns/latest/dg/sns-tags-configuring.html)。 **

## 【SNS.4】 SNS 主題存取政策不應允許公開存取
<a name="sns-4"></a>

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**嚴重

**資源類型：** `AWS::SNS::Topic`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sns-topic-no-public-access.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SNS 主題存取政策是否允許公開存取。如果 SNS 主題存取政策允許公開存取，則此控制會失敗。

您可以使用 Amazon SNS 存取政策搭配特定主題來限制誰可以使用該主題 （例如，誰可以發佈訊息給該主題或誰可以訂閱該主題）。SNS 政策可以將存取權授予其他 AWS 帳戶或您自己的 中的使用者 AWS 帳戶。在主題政策的 `Principal`欄位中提供萬用字元 (\$1)，且缺少限制主題政策的條件，可能會導致攻擊者洩漏資料、拒絕服務或意外地將訊息注入您的服務。

**注意**  
此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果，主題的 Amazon SNS 存取政策中的條件只能使用固定值，這些值不包含萬用字元或政策變數。如需政策變數的相關資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

### 修補
<a name="sns-4-remediation"></a>

若要更新 SNS 主題的存取政策，請參閱《[Amazon Simple Notification Service 開發人員指南》中的在 Amazon SNS 中管理存取權的概觀](https://docs.aws.amazon.com/sns/latest/dg/sns-overview-of-managing-access.html)。 **

# Amazon SQS 的 Security Hub CSPM 控制項
<a name="sqs-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Simple Queue Service (Amazon SQS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SQS.1】 Amazon SQS 佇列應靜態加密
<a name="sqs-1"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::SQS::Queue`

**AWS Config rule：**`sqs-queue-encrypted`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon SQS 佇列是否靜態加密。如果佇列未使用 SQS 受管金鑰 (SSE-SQS) 或 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 加密，則控制項會失敗。

加密靜態資料可降低未經授權的使用者存取儲存在磁碟上的資料的風險。伺服器端加密 (SSE) 使用 SQS 受管加密金鑰 (SSE-SQS) 或 AWS KMS 金鑰 (SSE-KMS) 保護 SQS 佇列中的訊息內容。

### 修補
<a name="sqs-1-remediation"></a>

若要設定 SQS 佇列的 SSE，請參閱《*Amazon Simple Queue Service 開發人員指南*》中的[設定佇列的伺服器端加密 (SSE)](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-sse-existing-queue.html)。

## 【SQS.2】 SQS 佇列應加上標籤
<a name="sqs-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SQS::Queue`

**AWS Config rule：**`tagged-sqs-queue`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon SQS 佇列是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果佇列沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果佇列未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="sqs-2-remediation"></a>

若要使用 Amazon SQS 主控台將標籤新增至現有佇列，請參閱《Amazon *Simple Queue Service 開發人員指南*》中的[設定 Amazon SQS 佇列 （主控台） 的成本分配標籤](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-configure-tag-queue.html)。

## 【SQS.3】 SQS 佇列存取政策不應允許公開存取
<a name="sqs-3"></a>

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**嚴重

**資源類型：** `AWS::SQS::Queue`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/sqs-queue-no-public-access.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon SQS 存取政策是否允許公開存取 SQS 佇列。如果 SQS 存取政策允許公開存取佇列，則控制項會失敗。

Amazon SQS 存取政策可以允許公開存取 SQS 佇列，這可能允許匿名使用者或任何已驗證的 AWS IAM 身分存取佇列。SQS 存取政策通常會透過在政策的 `Principal`元素中指定萬用字元 (`*`) 來提供此存取，而不使用適當的條件來限制對佇列的存取，或同時指定兩者。如果 SQS 存取政策允許公開存取，第三方可能會執行任務，例如從佇列接收訊息、傳送訊息至佇列，或修改佇列的存取政策。這可能會導致資料外洩、拒絕服務或威脅行為者將訊息注入佇列等事件。

**注意**  
此控制項不會評估使用萬用字元或變數的政策條件。若要產生`PASSED`調查結果，佇列的 Amazon SQS 存取政策中的條件只能使用固定值，這些值不包含萬用字元或政策變數。如需政策變數的相關資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

### 修補
<a name="sqs-3-remediation"></a>

如需有關為 SQS 佇列設定 SQS 存取政策的資訊，請參閱《[Amazon Simple Queue Service 開發人員指南》中的搭配 Amazon SQS 存取政策語言使用自訂](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-creating-custom-policies.html)政策。 **

# Step Functions 的 Security Hub CSPM 控制項
<a name="stepfunctions-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Step Functions 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【StepFunctions.1] Step Functions 狀態機器應該已開啟記錄
<a name="stepfunctions-1"></a>

**相關要求：**PCI DSS v4.0.1/10.4.2

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::StepFunctions::StateMachine`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/step-functions-state-machine-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `logLevel`  |  最低記錄層級  |  列舉  |  `ALL, ERROR, FATAL`  |  無預設值  | 

此控制項會檢查 AWS Step Functions 狀態機器是否已開啟記錄。如果狀態機器未開啟記錄，則控制項會失敗。如果您為 `logLevel` 參數提供自訂值，則只有在狀態機器已開啟指定的記錄層級時，控制項才會通過。

監控可協助您維護 Step Functions 的可靠性、可用性和效能。您應該從使用的 收集盡可能多 AWS 服務 的監控資料，以便更輕鬆地偵錯多點失敗。為您的 Step Functions 狀態機器定義記錄組態可讓您追蹤 Amazon CloudWatch Logs 中的執行歷史記錄和結果。或者，您只能追蹤錯誤或嚴重事件。

### 修補
<a name="stepfunctions-1-remediation"></a>

若要開啟 Step Functions 狀態機器的記錄，請參閱《 *AWS Step Functions 開發人員指南*》中的[設定記錄](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html#monitoring-logging-configure)。

## 【StepFunctions.2] 應標記 Step Functions 活動
<a name="stepfunctions-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::StepFunctions::Activity`

**AWS Config rule：**`tagged-stepfunctions-activity`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值  | 

此控制項會檢查 AWS Step Functions 活動是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果活動沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果活動未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="stepfunctions-2-remediation"></a>

若要將標籤新增至 Step Functions 活動，請參閱《 *AWS Step Functions 開發人員指南*》[中的 Step Functions 中的標記](https://docs.aws.amazon.com/step-functions/latest/dg/concepts-tagging.html)。

# Systems Manager 的 Security Hub CSPM 控制項
<a name="ssm-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Systems Manager (SSM) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager
<a name="ssm-1"></a>

**相關要求：**PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-5.r5 SA-15(2)、NIST.800-SA-1550.r5 SA-3 SI-2

**類別：**識別 > 清查

**嚴重性：**中

**評估的資源：** `AWS::EC2::Instance`

**必要的 AWS Config 錄製資源：**`AWS::EC2::Instance`、 `AWS::SSM::ManagedInstanceInventory`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查您帳戶中已停止和執行的 EC2 執行個體是否由 管理 AWS Systems Manager。Systems Manager 是 AWS 服務 ，可用來檢視和控制您的 AWS 基礎設施。

為了協助您維護安全性和合規性，Systems Manager 會掃描已停止和執行的受管執行個體。受管執行個體是設定為與 Systems Manager 搭配使用的機器。Systems Manager 接著會針對偵測到的任何政策違規進行報告或採取修正動作。Systems Manager 也可協助您設定和維護受管執行個體。若要進一步了解 ，請參閱 [AWS Systems Manager 使用者指南](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)。

**注意**  
此控制項會針對由 管理的 AWS Elastic Disaster Recovery 複寫伺服器執行個體的 EC2 執行個體產生`FAILED`問題清單 AWS。Replication Server 執行個體是由 自動啟動的 EC2 執行個體 AWS Elastic Disaster Recovery ，可支援來源伺服器的持續資料複寫。 會 AWS 刻意從這些執行個體中移除 Systems Manager (SSM) 代理程式，以維持隔離並協助防止潛在的意外存取路徑。

### 修補
<a name="ssm-1-remediation"></a>

如需有關使用 管理 EC2 執行個體的資訊 AWS Systems Manager，請參閱*AWS Systems Manager *[《 使用者指南》中的 Amazon EC2 主機管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html)。在 AWS Systems Manager 主控台的**組態選項**區段中，您可以保留預設設定，或視需要針對您偏好的組態進行變更。

## 【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態
<a name="ssm-2"></a>

**相關要求：**NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.1/6.3.3.3

**類別：**偵測 > 偵測服務 

**嚴重性：**高

**資源類型：** `AWS::SSM::PatchCompliance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Systems Manager 修補程式合規的合規狀態是否在執行個體上安裝修補程式`COMPLIANT``NON_COMPLIANT`之後。如果合規狀態為 ，則控制項會失敗`NON_COMPLIANT`。控制項只會檢查由 Systems Manager Patch Manager 管理的執行個體。

視需要修補 EC2 執行個體可減少您組織的受攻擊面 AWS 帳戶。

### 修補
<a name="ssm-2-remediation"></a>

Systems Manager 建議使用[修補程式政策](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html)來設定受管執行個體的修補。您也可以使用 [Systems Manager 文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html)來修補執行個體，如下列程序所述。

**修補不相容的修補程式**

1. 在 https：//[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。

1. 針對**節點管理**，選擇**執行命令**，然後選擇**執行命令**。

1. 選擇 **AWS-RunPatchBaseline** 的選項。

1. 將 **Operation (操作)** 變更為 **Install (安裝)**。

1. 選擇**手動選擇執行個體**，然後選擇不合規的執行個體。

1. 選擇**執行**。

1. 命令完成後，若要監控修補執行個體的新合規狀態，請在導覽窗格中選擇**合規**。

## 【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態
<a name="ssm-3"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI v4.0.1/6.3.3.3

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：** `AWS::SSM::AssociationCompliance`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS Systems Manager 關聯合規的狀態是 `COMPLIANT` 還是在執行個體上執行關聯`NON_COMPLIANT`之後。如果關聯合規狀態為 ，則控制項會失敗`NON_COMPLIANT`。

狀態管理員關聯是指派給受管執行個體的組態。該組態會定義您想在執行個體上維持的狀態。例如，關聯可以指定必須在您的執行個體上安裝和執行防毒軟體，或特定連接埠必須關閉。

建立一或多個狀態管理員關聯後，您即可立即取得合規狀態資訊。您可以在主控台中檢視合規狀態，或回應 AWS CLI 命令或對應的 Systems Manager API 動作。對於關聯，組態合規會顯示合規狀態 (`Compliant` 或 `Non-compliant`)。它也會顯示指派給關聯的嚴重性等級，例如 `Critical`或 `Medium`。

若要進一步了解 State Manager 關聯合規，請參閱*AWS Systems Manager 《 使用者指南*》中的[關於 State Manager 關聯合規](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)。

### 修補
<a name="ssm-3-remediation"></a>

失敗的關聯可以與不同的物件相關，包括目標和 Systems Manager 文件名稱。若要修復此問題，您必須先檢視關聯歷史記錄來識別和調查關聯。如需檢視關聯歷史記錄的說明，請參閱*AWS Systems Manager 《 使用者指南*》中的[檢視關聯歷史記錄](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html)。

調查之後，您可以編輯關聯以修正已識別的問題。您可以編輯關聯來指定新的名稱、排程、嚴重性層級或目標。編輯關聯後， 會 AWS Systems Manager 建立新的版本。如需編輯關聯的指示，請參閱*AWS Systems Manager 《 使用者指南*》中的[編輯和建立新版本的關聯](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html)。

## 【SSM.4】 SSM 文件不應公開
<a name="ssm-4"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**嚴重

**資源類型：** `AWS::SSM::Document`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)

**排程類型：**定期

**參數：**無

此控制項會檢查帳戶擁有 AWS Systems Manager 的文件是否為公有。如果擁有 `Self` 作為擁有者的 Systems Manager 文件為公有，則控制項會失敗。

Systems Manager 公有文件可能會允許意外存取您的文件。公有 Systems Manager 文件可以公開有關您的帳戶、資源和內部程序的寶貴資訊。

除非您的使用案例需要公開共用，否則建議您封鎖將 `Self`做為擁有者的 Systems Manager 文件的公開共用。

### 修補
<a name="ssm-4-remediation"></a>

如需設定 Systems Manager 文件共用的相關資訊，請參閱*AWS Systems Manager 《 使用者指南*》中的[共用 SSM 文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share)。

## 【SSM.5】 SSM 文件應加上標籤
<a name="ssm-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::SSM::Document`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Systems Manager 文件是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果文件沒有任何標籤索引鍵，或者它沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果文件沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，系統標籤會自動套用並具有 `aws:` 字首。控制項不會評估 Amazon 擁有的 Systems Manager 文件。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="ssm-5-remediation"></a>

若要將標籤新增至 AWS Systems Manager 文件，您可以使用 AWS Systems Manager API 的 [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html) 命令。您也可以使用 AWS Systems Manager 主控台。

## 【SSM.6】 SSM Automation 應該啟用 CloudWatch 記錄
<a name="ssm-6"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS Systems Manager (SSM) 自動化是否已啟用 Amazon CloudWatch 記錄。如果未針對 SSM Automation 啟用 CloudWatch 記錄，則控制項會失敗。

SSM Automation 是一種 AWS Systems Manager 工具，可協助您建置自動化解決方案，以使用預先定義的或自訂 Runbook 大規模部署、設定和管理 AWS 資源。為了符合組織的營運或安全需求，您可能需要提供其執行指令碼的記錄。您可以設定 SSM Automation 將輸出從 Runbook 中的`aws:executeScript`動作傳送至您指定的 Amazon CloudWatch Logs 日誌群組。您可使用 CloudWatch Logs 從各種 AWS 服務中監控、存放及存取日誌檔案。

### 修補
<a name="ssm-6-remediation"></a>

如需有關為 SSM 自動化啟用 CloudWatch 記錄的資訊，請參閱*AWS Systems Manager 《 使用者指南*》中的[使用 CloudWatch Logs 記錄自動化動作輸出](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html)。

## 【SSM.7】 SSM 文件應啟用封鎖公開共用設定
<a name="ssm-7"></a>

**類別：**保護 > 安全存取管理 > 資源不可公開存取

**嚴重性：**嚴重

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用文件的 AWS Systems Manager 封鎖公開共用設定。如果停用 Systems Manager 文件的封鎖公開共用設定，則控制項會失敗。

 AWS Systems Manager (SSM) 文件的封鎖公開共用設定是帳戶層級設定。啟用此設定可防止對 SSM 文件進行不必要的存取。如果您啟用此設定，您的變更不會影響您目前與公眾共用的任何 SSM 文件。除非您的使用案例要求您與公有共享 SSM 文件，否則建議您啟用封鎖公有共享設定。每個 的設定可能有所不同 AWS 區域。

### 修補
<a name="ssm-7-remediation"></a>

如需有關為 AWS Systems Manager (SSM) 文件啟用封鎖公開共用設定的資訊，請參閱*AWS Systems Manager 《 使用者指南*》中的[封鎖 SSM 文件的公開共用](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access)。

# 的 Security Hub CSPM 控制項 AWS Transfer Family
<a name="transfer-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS Transfer Family 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Transfer.1】 AWS Transfer Family 工作流程應加上標籤
<a name="transfer-1"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Transfer::Workflow`

**AWS Config rule：**`tagged-transfer-workflow`（自訂 Security Hub CSPM 規則）

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 AWS Transfer Family 工作流程是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果工作流程沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果工作流程未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="transfer-1-remediation"></a>

**將標籤新增至 Transfer Family 工作流程 （主控台）**

1. 開啟 AWS Transfer Family 主控台。

1. 在導覽窗格中，選擇 **Workflows (工作流程)**。然後，選取您要標記的工作流程。

1. 選擇**管理標籤**，然後新增標籤。

## 【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線
<a name="transfer-2"></a>

**相關要求：**NIST.800-53.r5 CM-7、NIST.800-53.r5 IA-5、NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::Transfer::Server`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-family-server-no-ftp.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 AWS Transfer Family 伺服器是否使用 FTP 以外的通訊協定進行端點連線。如果伺服器使用 FTP 通訊協定讓用戶端連線至伺服器的端點，則控制項會失敗。

FTP （檔案傳輸通訊協定） 透過未加密的頻道建立端點連線，讓透過這些頻道傳送的資料容易遭到攔截。使用 SFTP (SSH 檔案傳輸通訊協定）、FTPS （檔案傳輸通訊協定安全） 或 AS2 （適用性聲明 2) 可加密傳輸中的資料，提供額外的安全層，並可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或控制網路流量。

### 修補
<a name="transfer-2-remediation"></a>

若要修改 Transfer Family 伺服器的通訊協定，請參閱*AWS Transfer Family 《 使用者指南*》中的[編輯檔案傳輸通訊協定](https://docs.aws.amazon.com/transfer/latest/userguide/edit-server-config.html#edit-protocols)。

## 【Transfer.3】 Transfer Family 連接器應該已啟用記錄
<a name="transfer-3"></a>

**相關要求：**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Transfer::Connector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查連接器是否已啟用 Amazon CloudWatch 記錄 AWS Transfer Family 。如果未為連接器啟用 CloudWatch 記錄，則控制項會失敗。

Amazon CloudWatch 是一種監控和可觀測性服務，可讓您查看 AWS 資源，包括 AWS Transfer Family 資源。對於 Transfer Family，CloudWatch 提供工作流程進度和結果的合併稽核和記錄。這包括 Transfer Family 為工作流程定義的數個指標。您可以設定 Transfer Family 在 CloudWatch 中自動記錄連接器事件。若要這樣做，請為連接器指定記錄角色。對於記錄角色，您可以建立 IAM 角色和以資源為基礎的 IAM 政策，以定義角色的許可。

### 修補
<a name="transfer-3-remediation"></a>

如需有關為 Transfer Family 連接器啟用 CloudWatch 記錄的資訊，請參閱*AWS Transfer Family 《 使用者指南*》中的[AWS Transfer Family 伺服器的 Amazon CloudWatch 記錄](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html)。

## 【Transfer.4】 Transfer Family 協議應加上標籤
<a name="transfer-4"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Transfer::Agreement`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-agreement-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Transfer Family 協議是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果協議沒有任何標籤索引鍵，或其沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果協議沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="transfer-4-remediation"></a>

如需有關將標籤新增至 AWS Transfer Family 協議的資訊，請參閱*《標記 AWS 資源和標籤編輯器使用者指南*》中的[資源標記方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

## 【Transfer.5】 Transfer Family 憑證應加上標籤
<a name="transfer-5"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Transfer::Certificate`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-certificate-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Transfer Family 憑證是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果憑證沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果憑證沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="transfer-5-remediation"></a>

如需有關將標籤新增至 AWS Transfer Family 憑證的資訊，請參閱*《標記 AWS 資源和標籤編輯器使用者指南*》中的[資源標記方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

## 【Transfer.6】 Transfer Family 連接器應加上標籤
<a name="transfer-6"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Transfer::Connector`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-connector-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Transfer Family 連接器是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果連接器沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果連接器沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="transfer-6-remediation"></a>

如需將標籤新增至 AWS Transfer Family 連接器的詳細資訊，請參閱*《標記 AWS 資源和標籤編輯器使用者指南*》中的[資源標記方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

## 【Transfer.7】 轉移系列設定檔應加上標籤
<a name="transfer-7"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Transfer::Profile`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/transfer-profile-tagged.html)

**排程類型：**變更已觸發

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 AWS Transfer Family 設定檔是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果設定檔沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果設定檔沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。控制項會評估本機設定檔和合作夥伴設定檔。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="transfer-7-remediation"></a>

如需將標籤新增至 AWS Transfer Family 設定檔的詳細資訊，請參閱*《標記 AWS 資源和標籤編輯器使用者指南*》中的[資源標記方法](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#intro-tag-methods)。

# 的 Security Hub CSPM 控制項 AWS WAF
<a name="waf-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 AWS WAF 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄
<a name="waf-1"></a>

**相關需求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCIv40.10.10.4.2。

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::WAF::WebACL`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否啟用 AWS WAF 全域 Web ACL 的記錄。如果 Web ACL 未啟用記錄，則此控制項會失敗。

記錄是維護 AWS WAF 全域可靠性、可用性和效能的重要部分。這是許多組織的業務和合規要求，可讓您對應用程式行為進行疑難排解。它也提供所連接 Web ACL 所分析流量的詳細資訊 AWS WAF。

### 修補
<a name="waf-1-remediation"></a>

若要啟用 AWS WAF Web ACL 的記錄，請參閱《 *AWS WAF 開發人員指南*》中的[記錄 Web ACL 流量資訊](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html)。

## 【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件
<a name="waf-2"></a>

**相關要求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAFRegional::Rule`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF 區域規則是否具有至少一個條件。如果規則中沒有條件，則控制項會失敗。

WAF 區域規則可以包含多個條件。規則的條件允許流量檢查，並採取定義的動作 （允許、封鎖或計數）。如果沒有任何條件，流量會通過而不進行檢查。沒有條件但具有建議允許、封鎖或計數之名稱或標籤的 WAF 區域規則，可能會導致錯誤地假設發生其中一個動作。

### 修補
<a name="waf-2-remediation"></a>

若要將條件新增至空白規則，請參閱《 *AWS WAF 開發人員指南*》中的[在規則中新增和移除條件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)。

## 【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則
<a name="waf-3"></a>

**相關需求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAFRegional::RuleGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF 區域規則群組是否至少有一個規則。如果規則群組中沒有規則，則控制項會失敗。

WAF 區域規則群組可以包含多個規則。規則的條件允許流量檢查，並採取定義的動作 （允許、封鎖或計數）。如果沒有任何規則，流量會通過而不進行檢查。沒有規則但具有建議允許、封鎖或計數之名稱或標籤的 WAF 區域規則群組，可能會導致錯誤的假設發生其中一個動作。

### 修補
<a name="waf-3-remediation"></a>

若要將規則和規則條件新增至空白規則群組，請參閱《 *AWS WAF 開發人員指南*》中的[從 AWS WAF Classic 規則群組新增和刪除規則](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html)，以及[新增和移除規則中的條件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)。

## 【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組
<a name="waf-4"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAFRegional::WebACL`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF Classic 區域性 Web ACL 是否包含任何 WAF 規則或 WAF 規則群組。如果 Web ACL 不包含任何 WAF 規則或規則群組，則此控制項會失敗。

WAF 區域 Web ACL 可以包含規則和規則群組的集合，以檢查和控制 Web 請求。如果 Web ACL 是空的，則 Web 流量可以通過，而不會被 WAF 偵測到或對其採取動作，具體取決於預設動作。

### 修補
<a name="waf-4-remediation"></a>

若要將規則或規則群組新增至空白的 AWS WAF Classic Regional Web ACL，請參閱《 *AWS WAF 開發人員指南*》中的[編輯 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)。

## 【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件
<a name="waf-6"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAF::Rule`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF 全域規則是否包含任何條件。如果規則中沒有條件，則控制項會失敗。

WAF 全域規則可以包含多個條件。規則的條件允許流量檢查，並採取定義的動作 （允許、封鎖或計數）。如果沒有任何條件，流量會通過而不進行檢查。沒有條件但具有建議允許、封鎖或計數之名稱或標籤的 WAF 全域規則，可能會導致錯誤地假設發生其中一個動作。

### 修補
<a name="waf-6-remediation"></a>

如需建立規則和新增條件的說明，請參閱《 *AWS WAF 開發人員指南*》中的[建立規則和新增條件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html)。

## 【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則
<a name="waf-7"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAF::RuleGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF 全域規則群組是否至少有一個規則。如果規則群組中沒有規則，則控制項會失敗。

WAF 全域規則群組可以包含多個規則。規則的條件允許流量檢查，並採取定義的動作 （允許、封鎖或計數）。如果沒有任何規則，流量會通過而不進行檢查。沒有規則但具有建議允許、封鎖或計數之名稱或標籤的 WAF 全域規則群組，可能會導致錯誤地假設發生其中一個動作。

### 修補
<a name="waf-7-remediation"></a>

如需將規則新增至規則群組的指示，請參閱《 *AWS WAF 開發人員指南*》中的[建立 AWS WAF Classic 規則群組](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html)。

## 【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組
<a name="waf-8"></a>

**相關要求：**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAF::WebACL`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF 全域 Web ACL 是否包含至少一個 WAF 規則或 WAF 規則群組。如果 Web ACL 不包含任何 WAF 規則或規則群組，則控制項會失敗。

WAF 全域 Web ACL 可以包含規則和規則群組的集合，以檢查和控制 Web 請求。如果 Web ACL 是空的，則 Web 流量可以通過，而不會被 WAF 偵測到或對其採取動作，具體取決於預設動作。

### 修補
<a name="waf-8-remediation"></a>

若要將規則或規則群組新增至空白的 AWS WAF 全域 Web ACL，請參閱《 *AWS WAF 開發人員指南*》中的[編輯 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)。針對**篩選條件**，選擇**全域 (CloudFront)**。

## 【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組
<a name="waf-10"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**保護 > 安全網路組態

**嚴重性：**中

**資源類型：** `AWS::WAFv2::WebACL`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 an AWS WAF V2 Web 存取控制清單 (Web ACL) 是否包含至少一個規則或規則群組。如果 Web ACL 不包含任何規則或規則群組，則控制項會失敗。

Web ACL 可讓您精細控制受保護資源回應的所有 HTTP(S) Web 請求。Web ACL 應包含規則和規則群組的集合，以檢查和控制 Web 請求。如果 Web ACL 是空的， AWS WAF 則 Web 流量可以通過，而不會被偵測到或由 根據預設動作採取動作。

### 修補
<a name="waf-10-remediation"></a>

若要將規則或規則群組新增至空的 WAFV2 Web ACL，請參閱《 *AWS WAF 開發人員指南*》中的[編輯 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html)。

## 【WAF.11】應該啟用 AWS WAF Web ACL 記錄
<a name="waf-11"></a>

**相關要求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(950.5)、NIST.50 SI-710.4.25

**類別：**識別 > 記錄日誌

**嚴重性：**低

**資源類型：** `AWS::WAFv2::WebACL`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) ``

**排程類型：**定期

**參數：**無

此控制項會檢查是否針對 an AWS WAF V2 Web 存取控制清單 (Web ACL) 啟用記錄。如果 Web ACL 的記錄已停用，則此控制項會失敗。

**注意**  
此控制項不會檢查是否透過 Amazon Security Lake 為帳戶啟用 AWS WAF Web ACL 記錄。

記錄可維護 的可靠性、可用性和效能 AWS WAF。此外，記錄是許多組織中的商業和合規要求。透過記錄 Web ACL 分析的流量，您可以對應用程式行為進行疑難排解。

### 修補
<a name="waf-11-remediation"></a>

若要啟用 AWS WAF Web ACL 的記錄，請參閱《 *AWS WAF 開發人員指南*》中的[管理 Web ACL 的記錄](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html)。

## 【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標
<a name="waf-12"></a>

**相關要求：**NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.5050.5 SI-70

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::WAFv2::RuleGroup`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html) ``

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 AWS WAF 規則或規則群組是否已啟用 Amazon CloudWatch 指標。如果規則或規則群組未啟用 CloudWatch 指標，則控制項會失敗。

在 AWS WAF 規則和規則群組上設定 CloudWatch 指標可提供流量的可見性。您可以查看觸發哪些 ACL 規則，以及接受和封鎖哪些請求。此可見性可協助您識別相關聯資源上的惡意活動。

### 修補
<a name="waf-12-remediation"></a>

若要在 AWS WAF 規則群組上啟用 CloudWatch 指標，請叫用 [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html) API。若要在 AWS WAF 規則上啟用 CloudWatch 指標，請叫用 [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) API。將 `CloudWatchMetricsEnabled` 欄位設定為 `true`。當您使用 AWS WAF 主控台建立規則或規則群組時，會自動啟用 CloudWatch 指標。

# WorkSpaces 的 Security Hub CSPM 控制項
<a name="workspaces-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon WorkSpaces 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【WorkSpaces.1] 應靜態加密 WorkSpaces 使用者磁碟區
<a name="workspaces-1"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::WorkSpaces::Workspace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-user-volume-encryption-enabled.html)

**排程類型：**變更已觸發

**參數：**無

此控制項會檢查 Amazon WorkSpaces WorkSpace 中的使用者磁碟區是否靜態加密。如果 WorkSpace 使用者磁碟區未靜態加密，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="workspaces-1-remediation"></a>

若要加密 WorkSpaces 使用者磁碟區，請參閱《Amazon [ WorkSpaces 管理指南》中的加密](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) WorkSpace。 *Amazon WorkSpaces *

## 【WorkSpaces.2] WorkSpaces 根磁碟區應靜態加密
<a name="workspaces-2"></a>

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::WorkSpaces::Workspace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/workspaces-root-volume-encryption-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon WorkSpaces WorkSpace 中的根磁碟區是否靜態加密。如果 WorkSpace 根磁碟區未靜態加密，則控制項會失敗。

靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性，進而降低未經授權的使用者可存取資料的風險。

### 修補
<a name="workspaces-2-remediation"></a>

若要加密 WorkSpaces 根磁碟區，請參閱《Amazon [ WorkSpaces 管理指南》中的加密](https://docs.aws.amazon.com/workspaces/latest/adminguide/encrypt-workspaces.html#encrypt_workspace) WorkSpace。 *Amazon WorkSpaces *

# 在 Security Hub CSPM 中設定控制項所需的許可
<a name="iam-permissions-controls-standards"></a>

若要檢視安全控制的相關資訊，並在標準中啟用和停用安全控制，您用來存取 AWS Security Hub CSPM 的 AWS Identity and Access Management (IAM) 角色需要許可，才能呼叫 Security Hub CSPM API 的下列操作。

若要取得必要的許可，您可以使用 [Security Hub CSPM 受管政策](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html)。或者，您可以更新自訂 IAM 政策，以包含這些動作的許可。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)** – 傳回目前帳戶和 之安全控制批次的相關資訊 AWS 區域。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)** – 傳回適用於指定標準之安全控制的相關資訊。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)** – 識別帳戶中每個啟用的標準目前是否在 中啟用或停用安全控制。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)** – 對於一批安全控制項， 會識別目前是否在指定的標準中啟用或停用每個控制項。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)** – 用來在包含控制項的標準中啟用安全控制項，或在標準中停用控制項。這是現有[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)操作的批次取代。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)** – 用來啟用或停用包含控制項之標準中的一批安全控制項。這是現有[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)操作的批次取代。
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)** – 用來啟用或停用包含控制項之標準中的單一安全控制項 
+  **[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html)** – 傳回指定安全控制的詳細資訊。

除了上述 APIs，您應該新增呼叫 `BatchGetControlEvaluations` IAM 角色的許可。檢視控制項的啟用和合規狀態、控制項的問題清單計數，以及 Security Hub CSPM 主控台上控制項的整體安全分數時，需要此許可。由於只有主控台呼叫 `BatchGetControlEvaluations`，此許可不會直接對應至公開記錄的 Security Hub CSPM APIs 或 AWS CLI 命令。

# 在 Security Hub CSPM 中啟用控制項
<a name="securityhub-standards-enable-disable-controls"></a>

在 AWS Security Hub CSPM 中，控制項是安全標準中的保護措施，可協助組織保護資訊的機密性、完整性和可用性。每個 Security Hub CSPM 控制項都與特定 AWS 資源相關。當您啟用控制項時，Security Hub CSPM 會開始執行控制項的安全檢查，並為其產生問題清單。計算安全分數時，Security Hub CSPM 也會考慮所有啟用的控制項。

您可以選擇在其套用的所有安全標準中啟用控制項。或者，您可以在不同的標準中以不同的方式設定啟用狀態。我們建議使用前一個選項，其中控制項的啟用狀態會與所有已啟用的標準保持一致。如需在套用控制項的所有標準中啟用控制項的指示，請參閱 [啟用跨標準的控制](enable-controls-overview.md)。如需在特定標準中啟用控制項的指示，請參閱 [在特定標準中啟用控制項](controls-configure.md)。

如果您啟用跨區域彙總並登入彙總區域，Security Hub CSPM 主控台會顯示至少一個連結區域中可用的控制項。如果控制項可在連結區域中使用，但無法在彙總區域中使用，則您無法從彙總區域啟用或停用該控制項。

您可以使用 Security Hub CSPM 主控台、Security Hub CSPM API 或 來啟用和停用每個區域中的控制項 AWS CLI。

啟用和停用控制項的指示會根據您是否使用[中央組態](central-configuration-intro.md)而有所不同。本主題說明差異。整合 Security Hub CSPM 和 的使用者可使用中央組態 AWS Organizations。建議使用中央組態來簡化在多帳戶、多區域環境中啟用和停用控制項的程序。如果您使用中央組態，您可以透過使用組態政策跨多個帳戶和區域啟用控制項。如果您不使用中央組態，則必須在每個區域和帳戶中分別啟用控制項。

# 啟用跨標準的控制
<a name="enable-controls-overview"></a>

我們建議在套用控制項的所有標準中啟用 AWS Security Hub CSPM 控制。如果您開啟合併的控制項問題清單，即使控制項屬於多個標準，每個控制項檢查也會收到一個問題清單。

## 多帳戶、多區域環境中的跨標準啟用
<a name="enable-controls-all-standards-central-configuration"></a>

若要跨多個 AWS 帳戶 和 啟用安全控制 AWS 區域，您必須登入委派的 Security Hub CSPM 管理員帳戶，並使用[中央組態](central-configuration-intro.md)。

在中央組態下，委派管理員可以建立 Security Hub CSPM 組態政策，以跨已啟用的標準啟用指定的控制項。然後，您可以將組態政策與特定帳戶和組織單位 (OUs或根建立關聯。組態政策會在您的主要區域 （也稱為彙總區域） 和所有連結區域生效。

組態政策提供自訂功能。例如，您可以選擇在一個 OU 中啟用所有控制項，也可以選擇在另一個 OU 中僅啟用 Amazon Elastic Compute Cloud (EC2) 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立啟用跨標準指定控制項之組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**注意**  
委派管理員可以建立組態政策，以管理[服務受管標準以外的所有標準中的控制項： AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)此標準的控制項應在 AWS Control Tower 服務中設定。

如果您希望某些帳戶設定自己的控制項，而不是委派管理員，委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。

## 單一帳戶和區域中的跨標準啟用
<a name="enable-controls-all-standards"></a>

如果您不使用中央組態或 是自我管理帳戶，則無法使用組態政策在多個帳戶和區域中集中啟用控制項。不過，您可以使用下列步驟，在單一帳戶和區域中啟用控制項。

------
#### [ Security Hub CSPM console ]

**在一個帳戶和區域中啟用跨標準的控制**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**控制項**。

1. 選擇**已停用**索引標籤。

1. 選擇控制項旁的選項。

1. 選擇**啟用控制** （此選項不會針對已啟用的控制項顯示）。

1. 在您要啟用控制項的每個區域中重複此步驟。

------
#### [ Security Hub CSPM API ]

**在一個帳戶和區域中啟用跨標準的控制**

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控制 ID。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。如果您針對已啟用的控制項遵循這些步驟，API 會傳回 HTTP 狀態碼 200 回應。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. 在您要啟用控制項的每個區域中重複此步驟。

------
#### [ AWS CLI ]

**在一個帳戶和區域中啟用跨標準的控制**

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控制 ID。

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供未啟用控制項的任何標準的 Amazon Resource Name (ARN)。若要取得標準 ARNs，請執行 `describe-standards`命令。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。如果您針對已啟用的控制項遵循這些步驟，命令會傳回 HTTP 狀態碼 200 回應。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. 在您要啟用控制項的每個區域中重複此步驟。

------

# 在特定標準中啟用控制項
<a name="controls-configure"></a>

當您在 AWS Security Hub CSPM 中啟用標準時，所有適用於它的控制項都會在該標準中自動啟用 （此服務的例外狀況是服務受管標準）。然後，您可以在標準中停用並重新啟用特定控制項。不過，我們建議您在所有啟用的標準中調整控制項的啟用狀態。如需跨所有標準啟用控制項的指示，請參閱 [啟用跨標準的控制](enable-controls-overview.md)。

標準的詳細資訊頁面包含標準適用的控制項清單，以及目前在該標準中啟用和停用哪些控制項的相關資訊。

在標準詳細資訊頁面上，您也可以在特定標準中啟用控制項。您必須在每個 AWS 帳戶 和 中分別啟用特定標準的控制項 AWS 區域。當您在特定標準中啟用控制項時，它只會影響目前的帳戶和區域。

若要在標準中啟用控制項，您必須先啟用至少一個控制項適用的標準。如需啟用標準的指示，請參閱 [啟用安全標準](enable-standards.md)。當您在一或多個標準中啟用控制項時，Security Hub CSPM 會開始為該控制項產生問題清單。Security Hub CSPM 在計算整體安全分數和標準安全分數時包含[控制狀態](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)。即使您在多個標準中啟用控制，如果您開啟合併控制問題清單，則每個標準之間的安全檢查都會收到單一問題清單。如需了解更多資訊，請參閱[合併的控制調查結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)。

若要在標準中啟用控制項，該控制項必須在您目前的區域中可用。如需詳細資訊，請參閱[依區域控制可用性](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support)。

請依照下列步驟，*在特定*標準中啟用 Security Hub CSPM 控制項。您也可以使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API 動作來啟用特定標準的控制項，以取代下列步驟。如需*在所有*標準中啟用控制項的指示，請參閱 [單一帳戶和區域中的跨標準啟用](enable-controls-overview.md#enable-controls-all-standards)。

------
#### [ Security Hub CSPM console ]

**在特定標準中啟用控制項**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**安全標準**。

1. 選擇 **檢視相關標準的結果**。

1. 選取控制項。

1. 選擇**啟用控制** （此選項不會針對已啟用的控制項顯示）。選擇**啟用**來確認。

------
#### [ Security Hub CSPM API ]

**在特定標準中啟用控制項**

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 會傳回標準無關的安全控制 IDs，而非標準特定的控制 IDs。

   **請求範例：**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要啟用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**在特定標準中啟用控制項**

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)`命令，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 `describe-standards`。此命令會傳回標準無關的安全控制 IDs，而不是標準特定的控制 IDs。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)`命令，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要啟用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `ENABLED`。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# 在已啟用的標準中自動啟用新控制項
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM 會定期發行新的控制項，並將其新增至一或多個標準。您可以選擇是否要在已啟用的標準中自動啟用新控制項。

建議使用 Security Hub CSPM 中央組態來自動啟用新的安全控制。您可以建立組態政策，其中包含跨標準停用的控制項清單。預設會啟用所有其他控制項，包括新發行的控制項。或者，您可以建立政策，其中包含跨標準啟用的控制項清單。預設會停用所有其他控制項，包括新發行的控制項。如需詳細資訊，請參閱[了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

當 Security Hub CSPM 新增至您尚未啟用的標準時，不會啟用新的控制項。

下列指示僅適用於您不使用中央組態的情況。

選擇您偏好的存取方法，並依照步驟在已啟用的標準中自動啟用新的控制項。

**注意**  
當您使用以下指示自動啟用新控制項時，您可以在 主控台中以程式設計方式在發行後立即與控制項互動。不過，自動啟用的控制項具有**停用**的暫時預設狀態。Security Hub CSPM 最多可能需要幾天的時間來處理控制項版本，並在您的帳戶中將控制項指定為**已啟用**。在處理期間，您可以手動啟用或停用控制項，無論是否已開啟自動控制啟用，Security Hub CSPM 都會維持該指定。

------
#### [ Security Hub CSPM console ]

**自動啟用新的控制項**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**設定**，然後選擇**一般**索引標籤。

1. 在**控制項**下，選擇**編輯**。

1. 在**啟用的標準中開啟自動啟用新控制項**。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

**自動啟用新的控制項**

1. 執行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)。

1. 若要自動啟用啟用標準的新控制項，請將 `AutoEnableControls`設定為 `true`。如果您不想自動啟用新的控制項，請將 `AutoEnableControls`設定為 false。

------
#### [ AWS CLI ]

**自動啟用新的控制項**

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 命令。

1. 若要自動為已啟用的標準啟用新控制項，請指定 `--auto-enable-controls`。如果您不想自動啟用新的控制項，請指定 `--no-auto-enable-controls`。

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **範例命令**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

如果您不自動啟用新的控制項，則必須手動啟用它們。如需說明，請參閱[在 Security Hub CSPM 中啟用控制項](securityhub-standards-enable-disable-controls.md)。

# 在 Security Hub CSPM 中停用控制項
<a name="disable-controls-overview"></a>

為了減少調查結果雜訊，停用與您的環境無關的控制項會很有幫助。在 AWS Security Hub CSPM 中，您可以停用所有安全標準或僅針對特定標準的控制項。

如果您停用所有標準的控制項，會發生下列情況：
+ 不再執行控制項的安全檢查。
+ 不會為控制項產生其他問題清單。
+ 控制項的現有問題清單不會再更新。
+ 控制項的現有問題清單會自動封存，通常會在 3-5 天內盡力封存。
+ Security Hub CSPM 會移除它為控制項建立的任何相關 AWS Config 規則。

如果您僅針對特定標準停用控制項，Security Hub CSPM 會停止僅針對這些標準執行控制項的安全檢查。這也會從計算每個標準[的安全分數](standards-security-score.md)中移除控制。如果在其他標準中啟用控制項，如果適用，Security Hub CSPM 會保留相關聯的 AWS Config 規則，並繼續執行其他標準的控制項安全檢查。Security Hub CSPM 也會在計算其他每個標準的安全分數時包含控制項，這會影響您的摘要安全分數。

如果您停用標準，則適用於標準的所有控制項都會針對該標準自動停用。不過，在其他標準中可能會繼續啟用控制項。當您停用標準時，Security Hub CSPM 不會追蹤針對標準停用哪些控制項。因此，如果您稍後重新啟用相同的標準，則會自動啟用所有適用於它的控制項。如需停用標準的資訊，請參閱 [停用標準](disable-standards.md)。

停用控制項不是永久動作。假設您停用控制項，然後啟用包含控制項的標準。接著會針對該標準啟用控制項。當您在 Security Hub CSPM 中啟用標準時，會自動啟用適用於標準的所有控制項。如需啟用標準的資訊，請參閱 [啟用標準](enable-standards.md)。

**Topics**
+ [

# 停用跨標準的控制項
](disable-controls-across-standards.md)
+ [

# 在特定標準中停用控制項
](disable-controls-standard.md)
+ [要停用的建議控制項](controls-to-disable.md)

# 停用跨標準的控制項
<a name="disable-controls-across-standards"></a>

我們建議跨標準停用 AWS Security Hub CSPM 控制，以在整個組織中保持一致。如果您僅在特定標準中停用控制項，如果在其他標準中啟用控制項，您仍會繼續收到控制項的問題清單。

## 多個帳戶和區域中的跨標準停用
<a name="disable-controls-all-standards-central-configuration"></a>

若要停用多個 AWS 帳戶 和 之間的安全控制 AWS 區域，您必須使用[中央組態](central-configuration-intro.md)。

當您使用中央組態時，委派管理員可以建立 Security Hub CSPM 組態政策，以停用跨啟用標準指定的控制項。然後，您可以將組態政策與特定帳戶、OUs 或根帳戶建立關聯。組態政策會在您的主要區域 （也稱為彙總區域） 和所有連結區域生效。

組態政策提供自訂功能。例如，您可以選擇停用一個 OU 中的所有 AWS CloudTrail 控制項，也可以選擇停用另一個 OU 中的所有 IAM 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立停用跨標準指定控制項之組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**注意**  
委派管理員可以建立組態政策，以管理[服務受管標準以外的所有標準中的控制項： AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)此標準的控制項應在 AWS Control Tower 服務中設定。

如果您希望某些帳戶設定自己的控制項，而不是委派管理員，委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。

## 單一帳戶和區域中的跨標準停用
<a name="disable-controls-all-standards"></a>

如果您不使用中央組態或 是自我管理帳戶，則無法使用組態政策來集中停用多個帳戶和區域中的控制項。不過，您可以在單一帳戶和區域中停用控制項。

------
#### [ Security Hub CSPM console ]

**停用一個帳戶和區域中跨標準的控制項**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**控制項**。

1. 選擇控制項旁的選項。

1. 選擇**停用控制**。此選項不會針對已停用的控制項顯示。

1. 選取停用控制項的原因，然後選擇**停用**以確認。

1. 在您要停用控制項的每個區域中重複此動作。

------
#### [ Security Hub CSPM API ]

**停用一個帳戶和區域中跨標準的控制項**

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控制 ID。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供啟用控制項的任何標準的 ARN。若要取得標準 ARNs，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟，API 會傳回 HTTP 狀態碼 200 回應。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. 在您要停用控制項的每個區域中重複此動作。

------
#### [ AWS CLI ]

**停用一個帳戶和區域中跨標準的控制項**

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控制 ID。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供啟用控制項的任何標準的 ARN。若要取得標準 ARNs，請執行 `describe-standards`命令。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟，命令會傳回 HTTP 狀態碼 200 回應。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. 在您要停用控制項的每個區域中重複此動作。

------

# 在特定標準中停用控制項
<a name="disable-controls-standard"></a>

您只能在特定安全標準中停用控制項，而不是在所有標準中停用。如果控制項適用於其他已啟用的標準， AWS Security Hub CSPM 會繼續執行控制項的安全檢查，而且您會持續收到控制項的問題清單。

建議您在套用控制項的所有已啟用標準中，調整控制項的啟用狀態。如需停用適用於其所有標準之控制項的詳細資訊，請參閱 [停用跨標準的控制項](disable-controls-across-standards.md)。

在標準詳細資訊頁面上，您也可以在特定標準中停用控制項。您必須在每個 AWS 帳戶 和 中分別停用特定標準中的控制項 AWS 區域。當您在特定標準中停用控制項時，它只會影響目前的帳戶和區域。

選擇您偏好的方法，並依照下列步驟停用一或多個特定標準的控制項。

------
#### [ Security Hub CSPM console ]

**停用特定標準中的控制項**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**安全標準**。選擇 **檢視相關標準的結果**。

1. 選取控制項。

1. 選擇**停用控制**。此選項不會針對已停用的控制項顯示。

1. 提供停用控制項的原因，然後選擇**停用**進行確認。

------
#### [ Security Hub CSPM API ]

**停用特定標準中的控制項**

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 會傳回標準無關的安全控制 IDs，而非標準特定的控制 IDs。

   **請求範例：**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要停用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟，API 會傳回 HTTP 狀態碼 200 回應。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**停用特定標準中的控制項**

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)`命令，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 `describe-standards`。此命令會傳回標準無關的安全控制 IDs，而不是標準特定的控制 IDs。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)`命令，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要停用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已啟用的控制項遵循這些步驟，命令會傳回 HTTP 狀態碼 200 回應。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# 在 Security Hub CSPM 中停用的建議控制項
<a name="controls-to-disable"></a>

我們建議您停用一些 AWS Security Hub CSPM 控制項，以減少調查結果的雜訊和使用成本。

## 使用全域資源的控制項
<a name="controls-to-disable-global-resources"></a>

有些 AWS 服務 支援全域資源，這表示您可以從任何 存取資源 AWS 區域。若要節省 的成本 AWS Config，您可以停用除一個區域以外的所有 全域資源的記錄。不過，在您執行此操作之後，Security Hub CSPM 仍會在啟用控制項的所有區域中執行安全檢查，並根據每個區域的每個帳戶的檢查數量向您收費。因此，為了減少調查結果噪音並節省 Security Hub CSPM 的成本，您還應該停用在所有區域中涉及全域資源的控制項，除了記錄全域資源的區域以外。

如果控制項涉及全域資源，但僅在一個區域中可用，在該區域中停用它可防止您取得基礎資源的任何問題清單。在此情況下，建議您保持啟用控制項。使用跨區域彙總時，可使用控制項的區域應為彙總區域或其中一個連結區域。下列控制項涉及全域資源，但僅適用於單一區域：
+ **所有 CloudFront 控制項** – 僅適用於美國東部 （維吉尼亞北部） 區域
+ **GlobalAccelerator.1** – 僅適用於美國西部 （奧勒岡） 區域
+ **Route53.2** – 僅適用於美國東部 （維吉尼亞北部） 區域
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 僅適用於美國東部 （維吉尼亞北部） 區域

**注意**  
如果您使用中央組態，Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域，您可以更新 AWS Config 記錄器設定，並關閉主要區域以外的所有區域中的全域資源記錄。  
如果主區域不支援涉及全域資源的已啟用控制項，Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時，您無法涵蓋主要區域或任何連結區域中無法使用的控制項。  
如需中央組態的詳細資訊，請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

對於具有*定期*排程類型的控制項，需要在 Security Hub CSPM 中停用它們以防止計費。將 AWS Config 參數設定為 `includeGlobalResourceTypes` `false` 不會影響定期 Security Hub CSPM 控制項。

下列 Security Hub CSPM 控制項使用全域資源：
+ [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
+ [【Account.2】 AWS 帳戶 應該是 AWS Organizations 組織的一部分](account-controls.md#account-2)
+ [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1)
+ [【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3)
+ [【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉](cloudfront-controls.md#cloudfront-4)
+ [【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5)
+ [【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6)
+ [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7)
+ [【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求](cloudfront-controls.md#cloudfront-8)
+ [【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9)
+ [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)
+ [【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12)
+ [【CloudFront.13] CloudFront 分佈應使用原始存取控制](cloudfront-controls.md#cloudfront-13)
+ [【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策](cloudfront-controls.md#cloudfront-15)
+ [【CloudFront.16] CloudFront 分佈應使用 Lambda 函數 URL 原始伺服器的原始存取控制](cloudfront-controls.md#cloudfront-16)
+ [【GlobalAccelerator.1] 應標記 Global Accelerator 加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1)
+ [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
+ [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
+ [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
+ [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
+ [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)
+ [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
+ [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
+ [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10)
+ [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)
+ [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)
+ [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13)
+ [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)
+ [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
+ [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
+ [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17)
+ [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
+ [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19)
+ [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21)
+ [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
+ [【IAM.24】 IAM 角色應加上標籤](iam-controls.md#iam-24)
+ [【IAM.25】 IAM 使用者應加上標籤](iam-controls.md#iam-25)
+ [【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)
+ [【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)
+ [【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作](kms-controls.md#kms-1)
+ [【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策](kms-controls.md#kms-2)
+ [【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2)
+ [【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1)
+ [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6)
+ [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7)
+ [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8)

## CloudTrail 記錄控制
<a name="controls-to-disable-cloudtrail-logging"></a>

[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) 控制項會評估使用 AWS Key Management Service (AWS KMS) 來加密 AWS CloudTrail 追蹤日誌。如果您在集中式記錄帳戶中記錄這些線索，則只需要在帳戶中以及集中式記錄的發生 AWS 區域 位置啟用此控制項。

如果您使用[中央組態](central-configuration-intro.md)，則控制項的啟用狀態會跨主要區域和連結區域對齊。您無法在某些區域中停用控制項，並在其他區域中啟用控制項。在此情況下，您可以抑制 CloudTrail.2 控制項的調查結果，以減少調查結果雜訊。

## CloudWatch 警示控制
<a name="controls-to-disable-cloudwatch-alarms"></a>

如果您偏好使用 Amazon GuardDuty 進行異常偵測，而不是使用 Amazon CloudWatch 警示，您可以停用下列控制項，專注於 CloudWatch 警示：
+ [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)
+ [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2)
+ [【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-3)
+ [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)
+ [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)
+ [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)
+ [【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)
+ [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)
+ [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)
+ [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)
+ [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)
+ [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)
+ [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)
+ [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)

# 了解 Security Hub CSPM 中的安全檢查和分數
<a name="securityhub-controls-finding-generation"></a>

對於您啟用的每個控制項， AWS Security Hub CSPM 會執行安全檢查。安全檢查會產生調查結果，告訴您特定 AWS 資源是否符合控制項包含的規則。

有些檢查會定期執行。其他檢查只會在資源狀態變更時執行。如需詳細資訊，請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。

許多安全檢查會使用 AWS Config 受管或自訂規則來建立合規要求。若要執行這些檢查，您必須設定 AWS Config 並開啟所需資源的資源記錄。如需設定的詳細資訊 AWS Config，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需您必須為每個標準記錄 AWS Config 的資源清單，請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。其他控制項使用自訂 Lambda 函數，這些函數由 Security Hub CSPM 管理，不需要任何先決條件。

當 Security Hub CSPM 執行安全檢查時，會產生調查結果並為其指派合規狀態。如需合規狀態的詳細資訊，請參閱 [評估 Security Hub CSPM 調查結果的合規狀態](controls-overall-status.md#controls-overall-status-compliance-status)。

Security Hub CSPM 使用控制調查結果的合規狀態來判斷整體控制狀態。根據控制狀態，Security Hub CSPM 也會計算所有啟用控制項和特定標準的安全分數。如需詳細資訊，請參閱[評估合規狀態和控制狀態](controls-overall-status.md)及[計算安全分數](standards-security-score.md)。

如果您已開啟合併控制調查結果，即使控制項與多個標準相關聯，Security Hub CSPM 也會產生單一調查結果。如需詳細資訊，請參閱[合併的控制問題清單](controls-findings-create-update.md#consolidated-control-findings)。

**Topics**
+ [

# 控制問題清單所需的 AWS Config 資源
](controls-config-resources.md)
+ [

# 執行安全檢查的排程
](securityhub-standards-schedule.md)
+ [

# 產生和更新控制問題清單
](controls-findings-create-update.md)
+ [

# 評估合規狀態和控制狀態
](controls-overall-status.md)
+ [

# 計算安全分數
](standards-security-score.md)

# 控制問題清單所需的 AWS Config 資源
<a name="controls-config-resources"></a>

在 AWS Security Hub CSPM 中，某些控制項使用服務連結 AWS Config 規則來偵測 AWS 資源中的組態變更。若要讓 Security Hub CSPM 產生這些控制項的準確調查結果，您必須在其中啟用 AWS Config 和開啟資源錄製 AWS Config。如需 Security Hub CSPM 如何使用 AWS Config 規則以及如何啟用和設定的詳細資訊 AWS Config，請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需資源錄製的詳細資訊，請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。

若要接收準確的控制調查結果，您必須為具有*變更觸發*排程類型的已啟用控制項開啟 AWS Config 資源記錄。有些具有*定期*排程類型的控制項也需要資源記錄。此頁面列出這些 Security Hub CSPM 控制項所需的資源。

Security Hub CSPM 控制項可以依賴受管 AWS Config 規則或自訂 Security Hub CSPM 規則。請確定沒有任何 AWS Identity and Access Management (IAM) 政策或 AWS Organizations 受管政策 AWS Config 會阻止 擁有記錄 資源的許可。Security Hub CSPM 控制會直接評估資源組態，且不考慮 AWS Organizations 政策。

**注意**  
在無法使用控制項 AWS 區域 的情況下，對應的資源無法使用 AWS Config。如需這些限制的清單，請參閱 [Security Hub CSPM 控制項的區域限制](regions-controls.md)。

**Topics**
+ [

## 所有 Security Hub CSPM 控制項的必要資源
](#all-controls-config-resources)
+ [

## AWS 基礎安全最佳實務標準的必要資源
](#securityhub-standards-fsbp-config-resources)
+ [

## CIS AWS Foundations Benchmark 的必要資源
](#securityhub-standards-cis-config-resources)
+ [

## NIST SP 800-53 修訂版 5 標準所需的資源
](#nist-config-resources)
+ [

## NIST SP 800-171 修訂版 2 標準所需的資源
](#nist-800-171-config-resources)
+ [

## PCI DSS 3.2.1 版的必要資源
](#securityhub-standards-pci-config-resources)
+ [

## 資源標記標準所需的 AWS 資源
](#tagging-config-resources)

## 所有 Security Hub CSPM 控制項的必要資源
<a name="all-controls-config-resources"></a>

若要讓 Security Hub CSPM 為已啟用並使用 AWS Config 規則的變更觸發控制項產生調查結果，您必須在其中記錄下列類型的資源 AWS Config。此資料表也會指出哪些控制項會評估特定類型的資源。單一控制項可能會評估一種以上的資源類型。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-config-resources.html)

## AWS 基礎安全最佳實務標準的必要資源
<a name="securityhub-standards-fsbp-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於 AWS 基礎安全最佳實務標準 (v.1.0.0) 的變更觸發控制項的問題清單，並且使用 AWS Config 規則，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [AWS Security Hub CSPM 中的基礎安全最佳實務標準](fsbp-standard.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup`  | 
|  Amazon Cognito  |  `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool`  | 
|  Amazon Connect  |  `AWS::Connect::Instance`  | 
|  AWS DataSync  |  `AWS::DataSync::Task`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  AWS Glue  |  `AWS::Glue::Job`, `AWS::Glue::MLTransform`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Key`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Redshift Serverless  |  `AWS::RedshiftServerless::Workgroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Step Functions  |  `AWS::StepFunctions::StateMachine`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 
|  Amazon WorkSpaces  |  `AWS::WorkSpaces::WorkSpace`  | 

## CIS AWS Foundations Benchmark 的必要資源
<a name="securityhub-standards-cis-config-resources"></a>

若要針對適用於網際網路安全中心 (CIS) AWS 基準基準的已啟用控制項執行安全檢查，Security Hub CSPM 會執行針對檢查指定的確切稽核步驟，或使用特定 AWS Config 受管規則。如需 Security Hub CSPM 中此標準的資訊，請參閱 [Security Hub CSPM 中的 CIS AWS Foundations 基準](cis-aws-foundations-benchmark.md)。

### CIS v5.0.0 的必要資源
<a name="cis-5.0-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v5.0.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::FileSystem`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v3.0.0 的必要資源
<a name="cis-3.0-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v3.0.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v1.4.0 的必要資源
<a name="cis-1.4-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v1.4.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBInstance`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::Bucket`  | 

### CIS v1.2.0 的必要資源
<a name="cis-1.2-config-resources"></a>

若要讓 Security Hub CSPM 準確報告使用 AWS Config 規則的已啟用 CIS v1.2.0 變更觸發控制項的問題清單，您必須在 中記錄下列類型的資源 AWS Config。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::SecurityGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 

## NIST SP 800-53 修訂版 5 標準所需的資源
<a name="nist-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於 NIST SP 800-53 修訂版 5 標準的變更觸發控制項的問題清單，啟用並使用 AWS Config 規則，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [Security Hub CSPM 中的 NIST SP 800-53 修訂版 5](standards-reference-nist-800-53.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## NIST SP 800-171 修訂版 2 標準所需的資源
<a name="nist-800-171-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於 NIST SP 800-171 修訂版 2 標準、已啟用並使用 AWS Config 規則的變更觸發控制項調查結果，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [Security Hub CSPM 中的 NIST SP 800-171 修訂版 2](standards-reference-nist-800-171.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## PCI DSS 3.2.1 版的必要資源
<a name="securityhub-standards-pci-config-resources"></a>

若要讓 Security Hub CSPM 準確報告適用於支付卡產業資料安全標準 (PCI DSS) v3.2.1 的控制項的問題清單，啟用 並使用 AWS Config 規則，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [Security Hub CSPM 中的 PCI DSS](pci-standard.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Policy`, `AWS::IAM::User`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon OpenSearch Service  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 

## 資源標記標準所需的 AWS 資源
<a name="tagging-config-resources"></a>

套用至 AWS 資源標記標準的所有控制項都會觸發變更並使用 AWS Config 規則。若要讓 Security Hub CSPM 準確報告這些控制項的問題清單，您必須在其中記錄下列類型的資源 AWS Config。如需此標準的資訊，請參閱 [AWS Security Hub CSPM 中的資源標記標準](standards-tagging.md)。


| AWS 服務 | 資源類型 | 
| --- | --- | 
| AWS Amplify |  `AWS::Amplify::App`, `AWS::Amplify::Branch`  | 
| Amazon AppFlow  |  `AWS::AppFlow::Flow`  | 
| AWS App Runner  |  `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector`  | 
| AWS AppConfig  |  `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation`  | 
| AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
| Amazon Athena  |  `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup`  | 
| AWS Backup |  `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan`  | 
| AWS Batch  |  `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy`  | 
| AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
| AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
| Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
| AWS CloudTrail  |  `AWS::CloudTrail::Trail`  | 
| AWS CodeArtifact  |  `AWS::CodeArtifact::Repository`  | 
| Amazon CodeGuru  |  `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation`  | 
| Amazon Connect  |  `AWS::CustomerProfiles::ObjectType`  | 
| AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup`  | 
| AWS DataSync |  `AWS::DataSync::Task`  | 
| Amazon Detective  |  `AWS::Detective::Graph`  | 
| Amazon DynamoDB  |  `AWS::DynamoDB::Trail`  | 
| Amazon Elastic Compute Cloud (EC2)  |  `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway`  | 
| Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`  | 
| Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::PublicRepository`  | 
| Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
| Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
| Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig`  | 
| AWS Elastic Beanstalk |  `AWS::ElasticBeanstalk::Environment`  | 
| ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
| Amazon EventBridge  |  `AWS::Events::EventBus`  | 
| Amazon Fraud Detector  |  `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable`  | 
| AWS Global Accelerator  |  `AWS::GlobalAccelerator::Accelerator`  | 
| AWS Glue  |  `AWS::Glue::Job`  | 
| Amazon GuardDuty  |  `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet`  | 
| AWS Identity and Access Management (IAM)  |  `AWS::IAM::Role`, `AWS::IAM::User`  | 
| AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)  |  `AWS::AccessAnalyzer::Analyzer`  | 
| AWS IoT  |  `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile`  | 
| AWS IoT 活動  |  `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input`  | 
| AWS IoT SiteWise  |  `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project`  | 
| AWS IoT TwinMaker  |  `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace`  | 
| AWS IoT 無線  |  `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile`  | 
| Amazon Interactive Video Service (Amazon IVS)  |  `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration`  | 
| Amazon Keyspaces (適用於 Apache Cassandra)  |  `AWS::Cassandra::Keyspace`  | 
| Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
| AWS Lambda  |  `AWS::Lambda::Function`  | 
| Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
| AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`  | 
| Amazon OpenSearch Service |  `AWS::OpenSearch::Domain`  | 
| AWS 私有憑證授權單位 |  `AWS::ACMPCA::CertificateAuthority`  | 
| Amazon Relational Database Service  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup`  | 
| Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription`  | 
| Amazon Route 53  |  `AWS::Route53::HealthCheck`  | 
| Amazon SageMaker AI |  `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image`  | 
| AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
| Amazon Simple Email Service (Amazon SES)  |  `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList`  | 
| Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
| Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| AWS Step Functions  |  `AWS::StepFunctions::Activity`  | 
| AWS Systems Manager (SSM) |  `AWS::SSM::Document`  | 
| AWS Transfer Family |  `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow`  | 

# 執行安全檢查的排程
<a name="securityhub-standards-schedule"></a>

啟用安全標準後， AWS Security Hub CSPM 會在兩小時內開始執行所有檢查。大多數檢查會在 25 分鐘內開始執行。Security Hub CSPM 透過評估控制項基礎的規則來執行檢查。在控制項完成第一次執行檢查之前，其狀態為**無資料**。

當您啟用新標準時，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的調查結果，這些控制項使用與其他啟用標準相同的基礎 AWS Config 服務連結規則。例如，如果您在 AWS 基礎安全最佳實務 (FSBP) 標準中啟用 [Lambda.1](lambda-controls.md#lambda-1) 控制項，Security Hub CSPM 會建立服務連結規則，通常在幾分鐘內產生問題清單。之後，如果您在支付卡產業資料安全標準 (PCI DSS) 中啟用 Lambda.1 控制項，Security Hub CSPM 最多可能需要 24 小時才能產生控制項的問題清單，因為它使用相同的服務連結規則。

初次檢查後，每個控制項的排程可以定期或觸發變更。對於以受管 AWS Config 規則為基礎的控制項，控制項描述包含《 *AWS Config 開發人員指南*》中規則描述的連結。該描述指定規則是觸發變更還是定期變更。

## 定期安全檢查
<a name="periodic-checks"></a>

定期安全檢查會在最近一次執行後的 12 或 24 小時內自動執行。Security Hub CSPM 會決定週期性，您無法變更。定期控制反映檢查執行時的評估。

如果您更新定期控制調查結果的工作流程狀態，然後在下次檢查調查結果的合規狀態保持不變，工作流程狀態會保持修改狀態。例如，如果您的 [KMS.4](kms-controls.md#kms-4) 控制項問題清單失敗 (*AWS KMS key 應該啟用輪換*)，然後修復問題清單，Security Hub CSPM 會將工作流程狀態從 變更為 `NEW` `RESOLVED`。如果您在下一次定期檢查之前停用 KMS 金鑰輪換，則調查結果的工作流程狀態會保持 `RESOLVED`。

使用 Security Hub CSPM 自訂 Lambda 函數的檢查是定期的。

## 變更觸發的安全檢查
<a name="change-triggered-checks"></a>

當相關聯的資源變更狀態時，會執行變更觸發的安全性檢查。 AWS Config 您可以在資源狀態和*每日記錄*的*持續記錄*之間進行選擇。如果您選擇每日錄製，如果資源狀態發生變更， 會在每 24 小時期間結束時 AWS Config 傳送資源組態資料。如果沒有變更，則不會交付任何資料。這可能會延遲 Security Hub CSPM 調查結果的產生，直到 24 小時期間完成為止。無論您選擇的記錄期間為何，Security Hub CSPM 每 18 小時會檢查一次，以確保沒有 AWS Config 遺漏來自 的資源更新。

一般而言，Security Hub CSPM 會盡可能使用變更觸發的規則。若要讓資源使用變更觸發規則，它必須支援 AWS Config 組態項目。

# 產生和更新控制問題清單
<a name="controls-findings-create-update"></a>

AWS 當 Security Hub CSPM 針對安全控制執行檢查時，會產生和更新控制問題清單。控制問題清單使用[AWS 安全問題清單格式 (ASFF)](securityhub-findings-format.md)。

Security Hub CSPM 通常會針對控制項的每個安全檢查收取費用。不過，如果多個控制項使用相同的 AWS Config 規則，Security Hub CSPM 只會針對每個針對規則的檢查收取一次費用。例如，CIS AWS Foundations Benchmark 標準和 AWS 基礎安全最佳實務標準中的多個控制項會使用 AWS Config `iam-password-policy`規則。每次 Security Hub CSPM 針對該規則執行檢查時，都會為每個相關控制項產生個別的控制調查結果，但檢查只會收取一次費用。

如果控制項調查結果的大小超過 240 KB 的上限，Security Hub CSPM 會從調查結果中移除`Resource.Details`物件。對於資源 AWS Config 支援的控制項，您可以使用 AWS Config 主控台來檢閱資源詳細資訊。

**Topics**
+ [

## 合併的控制問題清單
](#consolidated-control-findings)
+ [

## 產生、更新和封存控制問題清單
](#securityhub-standards-results-updating)
+ [

## 自動化和抑制控制問題清單
](#automation-control-findings)
+ [

## 控制問題清單的合規詳細資訊
](#control-findings-asff-compliance)
+ [

## 控制問題清單的 ProductFields 詳細資訊
](#control-findings-asff-productfields)
+ [

## 控制問題清單的嚴重性等級
](#control-findings-severity)

## 合併的控制問題清單
<a name="consolidated-control-findings"></a>

如果您的帳戶已啟用合併控制調查結果，即使控制項適用於多個已啟用的標準，Security Hub CSPM 仍會為每個控制項的安全檢查產生單一調查結果或調查結果更新。如需控制項及其適用的標準清單，請參閱 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。我們建議您啟用合併控制調查結果，以減少調查結果的雜訊。

如果您在 2023 年 2 月 23 AWS 帳戶 日之前為 啟用 Security Hub CSPM，您可以按照本節稍後的說明啟用合併控制問題清單。如果您在 2023 年 2 月 23 日或之後啟用 Security Hub CSPM，則會自動為您的帳戶啟用合併控制問題清單。

如果您透過[手動邀請程序](account-management-manual.md)使用 [Security Hub CSPM 與 或受邀成員帳戶整合 AWS Organizations](securityhub-accounts-orgs.md)，則只有在成員帳戶啟用管理員帳戶時，才會為成員帳戶啟用合併控制問題清單。如果停用管理員帳戶的功能，則會停用成員帳戶的功能。此行為適用於新的和現有的成員帳戶。此外，如果管理員使用[中央組態](central-configuration-intro.md)來管理多個帳戶的 Security Hub CSPM，則無法使用中央組態政策來啟用或停用帳戶的合併控制問題清單。

如果您停用帳戶的合併控制問題清單，Security Hub CSPM 會為每個已啟用且包含控制項的標準產生或更新個別的控制問題清單。例如，如果您啟用四個共用控制項的標準，您會在控制項安全檢查後收到四個單獨的問題清單。如果您啟用合併控制調查結果，則只會收到一個調查結果。

當您啟用合併控制調查結果時，Security Hub CSPM 會建立新的標準獨立調查結果，並封存原始標準型調查結果。有些控制項問題清單欄位和值將會變更，這可能會影響您現有的工作流程。如需這些變更的詳細資訊，請參閱 [合併控制調查結果 – ASFF 變更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings)。啟用合併控制調查結果也可能影響整合的第三方產品從 Security Hub CSPM 收到的調查結果。如果您使用 v[2 AWS .0.0 上的自動安全回應](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/)解決方案，請注意它支援合併的控制問題清單。

若要啟用或停用合併控制調查結果，您必須登入管理員帳戶或獨立帳戶。

**注意**  
啟用合併控制調查結果後，Security Hub CSPM 最多可能需要 24 小時才能產生新的合併調查結果，並封存現有的標準型調查結果。同樣地，停用合併控制問題清單後，Security Hub CSPM 最多可能需要 24 小時才能產生新的標準問題清單，並封存現有的合併問題清單。在這些期間，您可能會在帳戶中看到標準無關和標準型問題清單的混合。

------
#### [ Security Hub CSPM console ]

**啟用或停用合併控制問題清單**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，於 **Settings (設定)** 下選擇 **General (一般)**。

1. 在**控制項**區段中，選擇**編輯**。

1. 使用**合併控制問題清單**切換來啟用或停用合併控制問題清單。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

若要以程式設計方式啟用或停用合併控制問題清單，請使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)的操作。或者，如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html)命令。

針對 `control-finding-generator` 參數，指定 `SECURITY_CONTROL`以啟用合併的控制項問題清單。若要停用合併控制調查結果，請指定 `STANDARD_CONTROL`。

例如，下列 AWS CLI 命令會啟用合併的控制問題清單。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```

下列 AWS CLI 命令會停用合併的控制問題清單。

```
$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```

------

## 產生、更新和封存控制問題清單
<a name="securityhub-standards-results-updating"></a>

Security Hub CSPM 會依[排程](securityhub-standards-schedule.md)執行安全檢查。第一次 Security Hub CSPM 執行控制項的安全檢查時，它會為控制項檢查的每個 AWS 資源產生新的問題清單。每次 Security Hub CSPM 隨後執行控制項的安全檢查時，都會更新現有的調查結果以報告檢查結果。這表示您可以使用個別調查結果提供的資料，根據特定控制項追蹤特定資源的合規變更。

例如，如果特定控制項的資源合規狀態從 變更為 `FAILED` `PASSED` ，Security Hub CSPM 不會產生新的調查結果。相反地，Security Hub CSPM 會更新控制項和資源的現有問題清單。在調查結果中，Security Hub CSPM 會將合規狀態 (`Compliance.Status`) 欄位的值變更為 `PASSED`。Security Hub CSPM 也會更新其他欄位的值，以反映檢查的結果，例如嚴重性標籤、工作流程狀態和時間戳記，指出 Security Hub CSPM 最近何時執行檢查並更新調查結果。

報告合規狀態變更時，Security Hub CSPM 可能會更新控制調查結果中的下列任何欄位：
+ `Compliance.Status` – 指定控制項之資源的新合規狀態。
+ `FindingProviderFields.Severity.Label` – 問題清單嚴重性的新定性表示法，例如 `LOW`、 `MEDIUM`或 `HIGH`。
+ `FindingProviderFields.Severity.Original` – 調查結果嚴重性的新量化表示，例如`0`合規資源。
+ `FirstObservedAt` – 資源的合規狀態最近變更時。
+ `LastObservedAt` – 當 Security Hub CSPM 最近針對指定的控制項和資源執行安全檢查時。
+ `ProcessedAt` – Security Hub CSPM 最近開始處理問題清單時。
+ `ProductFields.PreviousComplianceStatus` – 指定控制項之資源的先前合規狀態 (`Compliance.Status`)。
+ `UpdatedAt` – Security Hub CSPM 最近更新問題清單時。
+ `Workflow.Status` – 根據指定控制項之資源的新合規狀態，調查調查結果的狀態。

Security Hub CSPM 是否會更新欄位，主要取決於適用控制項和資源的最新安全性檢查結果。例如，如果特定控制項的資源合規狀態從 `PASSED` 變更為 `FAILED` ，Security Hub CSPM 會將調查結果的工作流程狀態變更為 `NEW`。若要追蹤個別問題清單的更新，您可以參考問題清單的歷史記錄。如需調查結果中個別欄位的詳細資訊，請參閱[AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)。

在某些情況下，Security Hub CSPM 會為控制項的後續檢查產生新的問題清單，而不是更新現有的問題清單。如果支援控制項的 AWS Config 規則發生問題，就可能發生這種情況。如果發生這種情況，Security Hub CSPM 會封存現有的問題清單，並為每個檢查產生新的問題清單。在新調查結果中，合規狀態為 `NOT_AVAILABLE`，記錄狀態為 `ARCHIVED`。解決 AWS Config 規則的問題後，Security Hub CSPM 會產生新的問題清單，並開始更新這些問題清單，以追蹤個別資源的合規狀態後續變更。

除了產生和更新控制調查結果之外，Security Hub CSPM 也會自動封存符合特定條件的控制調查結果。如果停用控制項、刪除指定的資源，或指定的資源不再存在，Security Hub CSPM 會封存問題清單。資源可能不再存在，因為已不再使用相關聯的服務。更具體地說，如果問題清單符合下列其中一項條件，Security Hub CSPM 會自動封存控制問題清單：
+ 問題清單已有 3-5 天未更新。請注意，基於此時間範圍的封存是以最佳努力為基礎，不保證。
+ 針對指定資源的`NOT_APPLICABLE`合規狀態傳回的相關聯 AWS Config 評估。

若要判斷問題清單是否已封存，您可以參考問題清單的記錄狀態 (`RecordState`) 欄位。如果問題清單已封存，此欄位的值為 `ARCHIVED`。

Security Hub CSPM 會將封存的控制調查結果存放 30 天。30 天後，問題清單會過期，而 Security Hub CSPM 會永久刪除問題清單。為了判斷封存的控制項調查結果是否已過期，Security Hub CSPM 會根據調查結果`UpdatedAt`欄位的值來計算。

若要存放封存的控制調查結果超過 30 天，您可以將調查結果匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊，請參閱[使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)。

**注意**  
在 2025 年 7 月 3 日之前，當控制項的資源合規狀態變更時，Security Hub CSPM 會以不同的方式產生和更新控制項調查結果。先前，Security Hub CSPM 建立了新的控制調查結果，並封存了資源的現有調查結果。因此，您可能會針對特定控制項和資源有多個封存的問題清單，直到這些問題清單過期為止 (30 天後）。

## 自動化和抑制控制問題清單
<a name="automation-control-findings"></a>

您可以使用 Security Hub CSPM 自動化規則來更新或隱藏特定控制問題清單。如果您隱藏問題清單，您可以繼續存取問題清單。不過，隱藏表示您相信不需要採取任何動作來解決問題清單。

透過抑制問題清單，您可以減少問題清單的雜訊。例如，您可能會隱藏測試帳戶中產生的控制問題清單。或者，您可以隱藏與特定資源相關的問題清單。若要進一步了解自動更新或隱藏問題清單，請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。

當您想要更新或隱藏特定控制問題清單時，自動化規則是適當的。不過，如果控制項與您的組織或使用案例無關，建議您[停用控制項](disable-controls-overview.md)。如果您停用控制項，Security Hub CSPM 不會對其執行安全檢查，也不會向您收取費用。

## 控制問題清單的合規詳細資訊
<a name="control-findings-asff-compliance"></a>

在控制項安全檢查所產生的調查結果中， AWS 安全調查結果格式 (ASFF) 中的[合規](asff-top-level-attributes.md#asff-compliance)物件和欄位會提供控制項檢查之個別資源的合規詳細資訊。這包括以下資訊：
+ `AssociatedStandards` – 啟用控制項的已啟用標準。
+ `RelatedRequirements` – 所有啟用標準中控制項的相關需求。這些要求衍生自 控制項的第三方安全架構，例如支付卡產業資料安全標準 (PCI DSS) 或 NIST SP 800-171 修訂版 2 標準。
+ `SecurityControlId` – Security Hub CSPM 支援跨標準控制的識別符。
+ `Status` – Security Hub CSPM 為控制項執行的最新檢查結果。先前檢查的結果會保留在調查結果的歷史記錄中。
+ `StatusReasons` – 列出 `Status` 欄位指定值原因的陣列。對於每個原因，這包括原因代碼和描述。

下表列出問題清單可能包含在`StatusReasons`陣列中的原因代碼和描述。修復步驟會根據哪個控制項產生具有指定原因碼的問題清單而有所不同。若要檢閱控制項的修補指引，請參閱 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。


| 原因代碼 | 合規狀態 | Description | 
| --- | --- | --- | 
|  `CLOUDTRAIL_METRIC_FILTER_NOT_VALID`  |  `FAILED`  |  多區域 CloudTrail 追蹤沒有有效的指標篩選條件。  | 
|  `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`  |  `FAILED`  |  多區域 CloudTrail 追蹤沒有指標篩選條件。  | 
|  `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`  |  `FAILED`  |  帳戶沒有具有所需組態的多區域 CloudTrail 追蹤。  | 
|  `CLOUDTRAIL_REGION_INVAILD`  |  `WARNING`  |  多區域 CloudTrail 追蹤不在目前的區域中。  | 
|  `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`  |  `FAILED`  |  沒有有效的警示動作。  | 
|  `CLOUDWATCH_ALARMS_NOT_PRESENT`  |  `FAILED`  |  CloudWatch 警示不存在於帳戶中。  | 
|  `CONFIG_ACCESS_DENIED`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |  AWS Config 存取遭拒。 確認 AWS Config 已啟用，且已獲得足夠的許可。  | 
|  `CONFIG_EVALUATIONS_EMPTY`  |  `PASSED`  |  AWS Config 根據 規則評估您的 資源。 此規則不適用於其範圍內 AWS 的資源、已刪除指定的資源，或已刪除評估結果。  | 
|  `CONFIG_RECORDER_CUSTOM_ROLE`  |  `FAILED` （適用於 Config.1)  |   AWS Config 記錄器使用自訂 IAM 角色而非 AWS Config 服務連結角色，而且 Config.1 的`includeConfigServiceLinkedRoleCheck`自訂參數未設定為 。 `false`  | 
|  `CONFIG_RECORDER_DISABLED`  |  `FAILED` （適用於 Config.1)  |  AWS Config 未在組態記錄器開啟的情況下啟用。  | 
|  `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`  |  `FAILED` （適用於 Config.1)  |  AWS Config 不會記錄對應至已啟用 Security Hub CSPM 控制項的所有資源類型。開啟下列資源的錄製：*未錄製的資源*。  | 
|  `CONFIG_RETURNS_NOT_APPLICABLE`  |  `NOT_AVAILABLE`  |  合規狀態為 ，`NOT_AVAILABLE`因為 AWS Config 傳回**的狀態為不適用**。 AWS Config 不提供狀態的原因。以下是**不適用**狀態的一些可能原因： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_EVALUATION_ERROR`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |  這個原因代碼用於數種不同類型的評估錯誤。 此描述會提供特定的原因資訊。 錯誤類型可以是下列其中一項： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/controls-findings-create-update.html)  | 
|  `CONFIG_RULE_NOT_FOUND`  |  `NOT_AVAILABLE` AWS Config 狀態為 `ConfigError`  |   AWS Config 規則正在建立中。  | 
|  `INTERNAL_SERVICE_ERROR`  |  `NOT_AVAILABLE`  |  發生未知的錯誤。  | 
|  `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`  |  `FAILED`  |  Security Hub CSPM 無法針對自訂 Lambda 執行時間執行檢查。  | 
|  `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  調查結果處於 `WARNING` 狀態，因為與此規則相關聯的 S3 儲存貯體位於不同的區域或帳戶中。 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。  | 
|  `SNS_SUBSCRIPTION_NOT_PRESENT`  |  `FAILED`  |  CloudWatch Logs 指標篩選條件沒有有效的 Amazon SNS 訂閱。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT`  |  `WARNING`  |  問題清單處於 `WARNING` 狀態。 與此規則相關聯的 SNS 主題由不同的 帳戶擁有。目前帳戶無法取得訂閱資訊。 擁有 SNS 主題的帳戶必須將 SNS 主題的`sns:ListSubscriptionsByTopic`許可授予目前帳戶。  | 
|  `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`  |  `WARNING`  |  調查結果處於 `WARNING` 狀態，因為與此規則相關聯的 SNS 主題位於不同的區域或帳戶中。 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。  | 
|  `SNS_TOPIC_INVALID`  |  `FAILED`  |  與此規則相關聯的 SNS 主題無效。  | 
|  `THROTTLING_ERROR`  |  `NOT_AVAILABLE`  |  相關 API 操作超過允許的速率。  | 

## 控制問題清單的 ProductFields 詳細資訊
<a name="control-findings-asff-productfields"></a>

在 控制項安全檢查產生的調查結果中， AWS 安全調查結果格式 (ASFF) 中的 [ProductFields](asff-top-level-attributes.md#asff-productfields) 屬性可包含下列欄位。

`ArchivalReasons:0/Description`  
說明 Security Hub CSPM 封存問題清單的原因。  
例如，Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單，或者啟用或停用[合併的控制項問題清單](#consolidated-control-findings)。

`ArchivalReasons:0/ReasonCode`  
指定 Security Hub CSPM 封存問題清單的原因。  
例如，Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單，或者啟用或停用[合併的控制項問題清單](#consolidated-control-findings)。

`PreviousComplianceStatus`  
指定控制項之資源的先前合規狀態 (`Compliance.Status`)，截至調查結果的最近更新為止。如果資源的合規狀態未在最近的更新期間變更，則此值與調查結果`Compliance.Status`欄位的值相同。如需可能值的清單，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

`StandardsGuideArn` 或 `StandardsArn`  
與控制項相關聯的標準 ARN。  
針對 CIS AWS Foundations Benchmark 標準， 欄位為 `StandardsGuideArn`。對於 PCI DSS 和 AWS 基礎安全最佳實務標準， 欄位為 `StandardsArn`。  
`Compliance.AssociatedStandards` 如果您啟用[合併控制問題清單](#consolidated-control-findings)，這些欄位會移除。

`StandardsGuideSubscriptionArn` 或 `StandardsSubscriptionArn`  
帳戶對 標準的訂閱 ARN。  
針對 CIS AWS Foundations Benchmark 標準， 欄位為 `StandardsGuideSubscriptionArn`。對於 PCI DSS 和 AWS 基礎安全最佳實務標準， 欄位為 `StandardsSubscriptionArn`。  
如果您啟用[合併控制調查結果](#consolidated-control-findings)，則會移除這些欄位。

`RuleId` 或 `ControlId`  
控制項的識別符。  
對於 CIS AWS Foundations Benchmark 標準的 1.2.0 版， 欄位為 `RuleId`。對於其他標準，包括後續版本的 CIS AWS Foundations Benchmark 標準， 欄位為 `ControlId`。  
`Compliance.SecurityControlId` 如果您啟用[合併的控制問題清單](#consolidated-control-findings)，這些欄位會移除。

`RecommendationUrl`  
控制項的修補資訊 URL。`Remediation.Recommendation.Url` 如果您啟用[合併的控制問題清單](#consolidated-control-findings)，則此欄位會移除。

`RelatedAWSResources:0/name`  
與調查結果相關聯的資源名稱。

`RelatedAWSResource:0/type`  
與控制項相關聯的資源類型。

`StandardsControlArn`  
組態的 ARN。如果您啟用[合併控制調查結果](#consolidated-control-findings)，則會移除此欄位。

`aws/securityhub/ProductName`  
對於控制項調查結果，產品名稱為 `Security Hub`。

`aws/securityhub/CompanyName`  
對於控制項調查結果，公司名稱為 `AWS`。

`aws/securityhub/annotation`  
控制項所發現問題的描述。

`aws/securityhub/FindingId`  
調查結果的識別符。  
如果您啟用[合併控制調查結果](#consolidated-control-findings)，則此欄位不會參考標準。

## 控制問題清單的嚴重性等級
<a name="control-findings-severity"></a>

指派給 Security Hub CSPM 控制項的嚴重性表示控制項的重要性。控制項的嚴重性決定指派給控制項調查結果的嚴重性標籤。

### 嚴重性條件
<a name="securityhub-standards-results-severity-criteria"></a>

控制項的嚴重性取決於下列條件的評估：
+ **威脅行為者利用與控制項相關聯的組態弱點有多困難？** 難度取決於使用弱點來執行威脅案例所需的複雜程度或複雜性。
+ **弱點對您的 AWS 帳戶 或 資源造成損害的可能性有多高？** 入侵您的 AWS 帳戶 或 資源意味著資料或 AWS 基礎設施的機密性、完整性或可用性在某種程度上受損。入侵的可能性表示威脅案例造成 AWS 服務 或 資源中斷或違規的可能性。

例如，請考慮下列組態弱點：
+ 使用者存取金鑰不會每 90 天輪換一次。
+ IAM 根使用者金鑰存在。

對手也同樣難以利用這兩個弱點。在這兩種情況下，對手都可以使用憑證盜竊或其他方法來取得使用者金鑰。然後，他們可以使用它，以未經授權的方式存取您的資源。

不過，如果威脅行為者取得根使用者存取金鑰，則入侵的可能性會更高，因為這樣可以讓他們存取更多。因此，根使用者金鑰弱點的嚴重性較高。

嚴重性不會考慮基礎資源的重要性。關鍵性是與調查結果相關聯之資源的重要性層級。例如，與關鍵任務應用程式相關聯的資源比與非生產測試相關聯的資源更重要。若要擷取資源關鍵性資訊，請使用 AWS 安全調查結果格式 (ASFF) `Criticality`的欄位。

下表映射了難以利用以及入侵安全標籤的可能性。


|  |  |  |  |  | 
| --- |--- |--- |--- |--- |
|    |  **極有可能遭到入侵**  |  **可能遭到入侵**  |  **不太可能遭到入侵**  |  **極不可能入侵**  | 
|  **非常容易利用**  |  嚴重  |  嚴重  |  高  |  中  | 
|  **有點容易利用**  |  嚴重  |  高  |  中  |  中  | 
|  **有些難以利用**  |  高  |  中  |  中  |  低  | 
|  **非常難以利用**  |  中  |  中  |  低  |  低  | 

### 嚴重性定義
<a name="securityhub-standards-results-severity-definitions"></a>

嚴重性標籤的定義如下。

**嚴重 – 問題應該立即修復，以避免升級。**  
舉例來說，開啟的 S3 儲存貯體將視作重大嚴重性問題。由於有許多威脅執行者會掃描開啟的 S3 儲存貯體，因此公開的 S3 儲存貯體中的資料可能會被其他人探索和存取。  
一般而言，可公開存取的資源會被視為重大安全問題。您應該最緊迫地處理關鍵問題清單。您也應該考慮資源的重要性。

**高 – 問題必須以短期優先順序處理。**  
例如，如果預設 VPC 安全群組開放給傳入和傳出流量，則會被視為高嚴重性。威脅行為者使用此方法入侵 VPC 有點容易。一旦資源位於 VPC 中，威脅行為者也可能能夠中斷或滲透資源。  
Security Hub CSPM 建議您將高嚴重性的問題清單視為短期優先順序。您應該立即採取修復步驟。您也應該考慮資源的重要性。

**中 – 問題應該以中期優先順序處理。**  
例如，缺少傳輸中資料的加密會被視為中等嚴重性的問題清單。它需要複雜的man-in-the-middle攻擊，才能利用此弱點。換句話說，這有點困難。如果威脅案例成功，某些資料可能會遭到入侵。  
Security Hub CSPM 建議您儘早調查隱含資源。您也應該考慮資源的重要性。

**低 – 問題不需要自行執行動作。**  
例如，未能收集鑑識資訊視為低嚴重性。此控制有助於防止未來的入侵，但缺少鑑識不會直接導致入侵。  
您不需要對低嚴重性的問題清單立即採取動作，但這些問題可在您與其他問題相互關聯時提供內容。

**資訊 – 找不到組態弱點。**  
換句話說，狀態為 `PASSED`、 `WARNING`或 `NOT AVAILABLE`。  
沒有任何建議的動作。參考性問題清單能協助客戶證明自己處於合規狀態。

# 評估合規狀態和控制狀態
<a name="controls-overall-status"></a>

安全性 AWS 調查結果格式`Compliance.Status`的欄位說明控制調查結果的結果。 AWS Security Hub CSPM 使用控制調查結果的合規狀態來判斷整體控制狀態。控制項狀態會顯示在 Security Hub CSPM 主控台上控制項的詳細資訊頁面上。

## 評估 Security Hub CSPM 調查結果的合規狀態
<a name="controls-overall-status-compliance-status"></a>

每個調查結果的合規狀態會指派下列其中一個值：
+ `PASSED` – 表示控制項已通過調查結果的安全檢查。這會自動將 Security Hub CSPM `Workflow.Status` 設定為 `RESOLVED`。
+ `FAILED` – 表示控制項未通過調查結果的安全檢查。
+ `WARNING` – 表示 Security Hub CSPM 無法判斷資源是否處於 `PASSED`或 `FAILED` 狀態。例如，對應的[AWS Config 資源類型不會開啟資源記錄](securityhub-setup-prereqs.md#config-resource-recording)。
+ `NOT_AVAILABLE` – 表示無法完成檢查，因為伺服器失敗、資源已刪除，或 AWS Config 評估結果為 `NOT_APPLICABLE`。如果 AWS Config 評估結果為 `NOT_APPLICABLE`，Security Hub CSPM 會自動封存問題清單。

如果調查結果的合規狀態從 變更為 `PASSED` `FAILED`、 `WARNING`或 `NOT_AVAILABLE`，且`Workflow.Status`為 `NOTIFIED`或 `RESOLVED`，則 Security Hub CSPM 會自動`Workflow.Status`變更為 `NEW`。

如果您沒有與控制項對應的資源，Security Hub CSPM 會在帳戶層級產生`PASSED`問題清單。如果您有對應至控制項的資源，但接著刪除資源，Security Hub CSPM 會建立`NOT_AVAILABLE`問題清單並立即將其封存。18 小時後，您會收到`PASSED`調查結果，因為您不再有與控制項對應的資源。

## 從合規狀態衍生控制狀態
<a name="controls-overall-status-values"></a>

Security Hub CSPM 會從控制調查結果的合規狀態衍生整體控制狀態。判斷控制狀態時，Security Hub CSPM 會忽略具有 `RecordState`的調查結果，`ARCHIVED`以及具有 `Workflow.Status`的調查結果`SUPPRESSED`。

控制狀態會獲指派下列其中一個值：
+ **已傳遞** – 表示所有調查結果的合規狀態為 `PASSED`。
+ **失敗** – 表示至少一個調查結果的合規狀態為 `FAILED`。
+ **未知** – 表示至少一個調查結果的合規狀態為 `WARNING`或 `NOT_AVAILABLE`。沒有任何調查結果的合規狀態為 `FAILED`。
+ **無資料** – 表示沒有控制項的問題清單。例如，新啟用的控制項具有此狀態，直到 Security Hub CSPM 開始為其產生問題清單為止。如果控制項的所有調查結果都為 `SUPPRESSED` 或目前 中無法使用，則控制項也會有此狀態 AWS 區域。
+ **已停用** – 表示控制項在目前帳戶和區域中已停用。目前未針對目前帳戶和區域中的此控制項執行任何安全檢查。不過，停用控制項的調查結果在停用後最多 24 小時內可能會有合規狀態的值。

對於管理員帳戶，控制狀態會反映管理員帳戶和成員帳戶的控制狀態。具體而言，如果控制項在管理員帳戶或任何成員帳戶中有一或多個失敗的問題清單，則控制項的整體狀態會顯示為**失敗**。如果您已設定彙總區域，則彙總區域中的控制項狀態會反映彙總區域和連結區域中的控制項狀態。具體而言，如果控制項在彙總區域或任何連結區域中有一或多個失敗的問題清單，則控制項的整體狀態會顯示為**失敗**。

Security Hub CSPM 通常會在您第一次造訪 Security Hub CSPM 主控台的**摘要**頁面或**安全標準**頁面後 30 分鐘內產生初始控制狀態。您必須設定[AWS Config 資源記錄](controls-config-resources.md)，控制項狀態才會出現。第一次產生控制狀態之後，Security Hub CSPM 會根據過去 24 小時的調查結果，每 24 小時更新一次控制狀態。控制項詳細資訊頁面上的時間戳記指出上次更新控制項狀態的時間。

**注意**  
第一次啟用控制項後，在中國區域和 中產生控制項狀態最多可能需要 24 小時 AWS GovCloud (US) Region。

# 計算安全分數
<a name="standards-security-score"></a>

在 AWS Security Hub CSPM 主控台上，**摘要**頁面和**控制**頁面會顯示所有已啟用標準的摘要安全分數。在**安全標準**頁面上，Security Hub CSPM 也會為每個啟用的標準顯示 0-100% 的安全分數。

當您第一次啟用 Security Hub CSPM 時，Security Hub CSPM 會在您第一次造訪主控台的摘要或安全標準頁面後 30 分鐘內計算**摘要**安全分數和**標準安全**分數。只會針對您在主控台上造訪這些頁面時啟用的標準產生分數。此外， AWS Config 必須設定資源記錄，才能顯示分數。摘要安全分數是標準安全分數的平均值。若要檢閱目前啟用的標準清單，您可以使用 Security Hub CSPM API 的 [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作。

第一次產生分數後，Security Hub CSPM 會每 24 小時更新一次安全分數。Security Hub CSPM 會顯示時間戳記，指出上次更新安全分數的時間。請注意，在中國區域和 中，首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Regions。

如果您開啟[合併控制問題清單](controls-findings-create-update.md#consolidated-control-findings)，可能需要長達 24 小時才能更新您的安全分數。此外，啟用新的彙總區域或更新連結的區域會重設現有的安全分數。Security Hub CSPM 最多可能需要 24 小時才能產生新的安全分數，其中包含來自更新區域的資料。

## 計算安全分數的方法
<a name="standard-security-score-calculation"></a>

安全性分數代表**已通過**控制項與已啟用控制項的比例。分數會以百分比顯示，四捨五入或向下到最接近的整數。

Security Hub CSPM 會計算所有已啟用標準的摘要安全分數。Security Hub CSPM 也會計算每個已啟用標準的安全分數。為了計算分數，啟用的控制項包括狀態為**通過**、**失敗**和**未知**的控制項。狀態為 **的控制項 分數計算不會排除任何資料**。

計算控制狀態時，Security Hub CSPM 會忽略封存和隱藏的問題清單。這可能會影響安全分數。例如，如果您隱藏控制項的所有失敗調查結果，則其狀態會變成**通過**，進而改善您的安全分數。如需控制狀態的詳細資訊，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

**評分範例：**


| 標準 | 傳遞控制項 | 失敗的控制項 | 不明控制項 | 標準分數 | 
| --- | --- | --- | --- | --- | 
|  AWS 基礎安全最佳實務 1.0.0 版  |  168  |  22  |  0  |  88%  | 
|  CIS AWS Foundations Benchmark 1.4.0 版  |  8  |  29  |  0  |  22%  | 
|  CIS AWS Foundations Benchmark 1.2.0 版  |  6  |  35  |  0  |  15%  | 
|  NIST 特別出版物 800-53 修訂版 5  |  159  |  56  |  0  |  74%  | 
|  PCI DSS v3.2.1  |  28  |  17  |  0  |  62%  | 

計算摘要安全分數時，Security Hub CSPM 只會跨標準計算每個控制項一次。例如，如果您已啟用套用至三個已啟用標準的控制項，則它只會計為一個已啟用的控制項，以供評分之用。

在此範例中，雖然跨已啟用標準啟用的控制項總數為 528，但 Security Hub CSPM 只會針對評分目的計算每個唯一控制項一次。唯一啟用的控制項數量可能低於 528。如果我們假設唯一啟用的控制項數目為 515，而唯一傳遞的控制項數目為 357，則摘要分數為 69%。此分數的計算方式是將唯一傳遞的控制項數量除以唯一啟用的控制項數量。

您可能有一個與標準安全分數不同的摘要分數，即使您在目前區域中只啟用了帳戶中的一個標準。如果您登入管理員帳戶，且成員帳戶已啟用其他標準或不同標準，則可能會發生這種情況。如果您從彙總區域檢視分數，並在連結區域中啟用其他標準或不同標準，也會發生這種情況。

## 管理員帳戶的安全分數
<a name="standard-security-score-admin"></a>

如果您已登入管理員帳戶，則管理員帳戶和所有成員帳戶中的控制狀態的摘要安全分數和標準分數帳戶。

如果甚至一個成員帳戶中的控制項狀態為**失敗**，則其在管理員帳戶中的狀態為**失敗**，並影響管理員帳戶分數。

如果您已登入管理員帳戶，且正在檢視彙總區域中的分數，則安全分數會考慮所有成員帳戶*和*所有連結區域中的控制狀態。

## 如果您已設定彙總區域，安全性分數
<a name="standard-security-aggregation-region"></a>

如果您已設定彙總 AWS 區域，則摘要安全分數和標準分數會考慮所有 中的控制狀態
 連結的區域。

如果甚至一個連結區域中的控制項狀態為**失敗**，則其狀態在彙總區域中為**失敗**，並影響彙總區域分數。

如果您已登入管理員帳戶，且正在檢視彙總區域中的分數，則安全分數會考慮所有成員帳戶*和*所有連結區域中的控制狀態。

# Security Hub CSPM 中的控制類別
<a name="control-categories"></a>

每個控制項都會指派一個類別。控制項的類別會反映控制項套用的安全性功能。

類別值包含類別、類別內的子類別，以及可選擇的子類別內的分類器。例如：
+ 識別 > 庫存
+ 保護 > 資料保護 > 加密傳輸中的資料

以下是可用類別、子類別和分類器的說明。

## 識別
<a name="control-category-identify"></a>

發展組織理解，以管理系統、資產、資料和能力的網路安全風險。

**Inventory**  
該服務是否實施了正確的資源標記策略？ 此標記策略是否包括資源擁有者？  
服務使用哪些資源？ 這些資源是此服務已核准的資源嗎？  
您是否可以查看已核准的庫存？ 例如，您是否使用 Amazon EC2 Systems Manager 和 Service Catalog 等服務？ 

**日誌**  
您是否安全地啟用了該服務的所有相關日誌記錄？ 日誌檔案的範例包括下列項目：  
+ Amazon VPC 流程日誌
+ Elastic Load Balancing 存取日誌
+ Amazon CloudFront 日誌
+ Amazon CloudWatch Logs
+ Amazon Relational Database Service 記錄
+ Amazon OpenSearch Service 慢索引日誌
+ X-Ray 追蹤
+ AWS Directory Service 日誌
+ AWS Config 項目
+ 快照

## 保護
<a name="control-category-protect"></a>

制定和實施適當的保護措施，以確保提供關鍵基礎設施服務和安全編碼實務。

**安全存取管理**  
服務是否在其 IAM 或資源政策中使用最低權限實務？  
密碼和私密的複雜性是否足夠？ 它們是否適當輪換？  
此服務是否使用多重因素認證 (MFA)？  
服務是否避免根使用者？  
以資源為基礎的政策是否允許公開存取？

**安全網路組態**  
此服務是否避免公有和不安全的遠端網路存取？  
此服務是否正確使用 VPC？ 例如，是否需要在 VPC 中執行任務？  
此服務是否正確地分割並隔離敏感資源？ 

**資料保護**  
靜態資料加密 – 服務是否加密靜態資料？  
傳輸中的資料加密 – 服務是否會加密傳輸中的資料？  
資料完整性 – 服務是否驗證資料完整性？  
資料刪除保護 – 服務是否保護資料免於意外刪除？  
資料管理/使用 – 您是否使用 Amazon Macie 等服務來追蹤敏感資料的位置？

**API 保護**  
服務是否使用 AWS PrivateLink 來保護服務 API 操作？

**保護服務**  
正確的保護服務是否已就緒？ 他們是否提供正確的涵蓋範圍？  
保護服務可協助您擺脫針對服務的攻擊和入侵。中的保護服務範例 AWS 包括 AWS Control Tower、 AWS WAF AWS Shield Advanced、Vanta、Secrets Manager、IAM Access Analyzer 和 AWS Resource Access Manager。

**安全開發**  
您使用安全的編碼實務嗎？  
您是否避免了諸如開放式 Web 應用程式安全專案 (OWASP) 前十個等漏洞？

## 偵測
<a name="control-category-detect"></a>

制定和實施適當的活動，以識別網路安全事件的發生。

**偵測服務**  
正確的偵測服務是否已就緒？  
他們是否提供正確的涵蓋範圍？  
 AWS 偵測服務的範例包括 Amazon GuardDuty、 AWS Security Hub CSPM、Amazon Inspector、Amazon Detective AWS IoT Device Defender、Amazon CloudWatch Alarms 和 AWS Trusted Advisor。

## 回應
<a name="control-category-respond"></a>

制定並實施適當的活動，以針對偵測到的網路安全事件採取行動。

**回應動作**  
您是否迅速回應安全性事件？  
您是否有任何作用中的嚴重或高嚴重性問題清單？

**鑑識**  
您可以安全地取得服務的鑑識資料嗎？ 例如，您是否取得與真陽性問題清單相關聯的 Amazon EBS 快照？  
您是否設立一個鑑識帳戶？

## 復原
<a name="control-category-recover"></a>

制定和實施適當的活動，以維持恢復計劃，並恢復因網路安全事件而受損的任何功能或服務。

**恢復能力**  
服務組態是否支援正常容錯移轉、彈性擴展和高可用性？  
您是否已建立備份？ 

# 檢閱 Security Hub CSPM 中控制項的詳細資訊
<a name="securityhub-standards-control-details"></a>

在控制項頁面或 Security Hub CSPM 主控台的標準詳細資訊頁面上選取**控制項**，將帶您前往控制項詳細資訊頁面。

控制項詳細資訊頁面頂端指出控制項狀態。控制項狀態會根據控制項調查結果的合規狀態，摘要說明控制項的效能。Security Hub CSPM 通常會在您第一次造訪 Security Hub CSPM 主控台的**摘要**頁面或**安全標準**頁面後 30 分鐘內產生初始控制狀態。狀態僅適用於您造訪這些頁面時啟用的控制項。

控制項詳細資訊頁面也提供過去 24 小時內控制項調查結果的合規狀態明細。如需控制狀態和合規狀態的詳細資訊，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

AWS Config 必須設定 資源記錄，才能顯示控制項狀態。第一次產生控制狀態之後，Security Hub CSPM 會根據過去 24 小時的調查結果，每 24 小時更新一次控制狀態。

管理員帳戶會看到管理員帳戶和成員帳戶中的彙總控制狀態。如果您已設定彙總區域，控制狀態會包含所有連結區域的調查結果。如需控制狀態的詳細資訊，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

您也可以從控制項詳細資訊頁面啟用或停用控制項。

**注意**  
在中國區域和 中啟用第一次控制狀態的控制後，最多可能需要 24 小時的時間 AWS GovCloud (US) Regions。

**標準和要求**索引標籤列出可以啟用控制項的標準，以及與來自不同合規架構的控制項相關的要求。

**Checks** 索引標籤會列出過去 24 小時內控制項的作用中問題清單。當 Security Hub CSPM 執行控制項的安全檢查時，會產生和更新控制項調查結果。此索引標籤上的清單不包含封存的問題清單。

對於每個調查結果，清單會提供調查結果詳細資訊的存取權，例如合規狀態和相關資源。您也可以設定每個調查結果的工作流程狀態，並將調查結果傳送至自訂動作。如需詳細資訊，請參閱[檢閱和管理控制問題清單](securityhub-control-manage-findings.md)。

## 檢視控制項的詳細資訊
<a name="view-control-details-console"></a>

選擇您偏好的存取方法，然後依照下列步驟檢閱控制項的詳細資訊。詳細資訊適用於目前的帳戶和區域，並包含下列項目：
+ 控制項的標題和描述。
+ 失敗控制問題清單的修復指引連結。
+ 控制項的嚴重性。
+ 控制項的狀態。

在 主控台上，您也可以檢閱控制項的最新調查結果清單。若要以程式設計方式執行此操作，您可以使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)的操作。

------
#### [ Security Hub CSPM console ]

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中選擇**控制項**。

1. 選取控制項。

------
#### [ Security Hub CSPM API ]

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`，並提供一或多個標準 ARNs，以取得該標準的控制 IDs 清單。若要取得標準 ARNs，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。如果您未提供標準 ARN，此 API 會傳回所有 Security Hub CSPM IDs。此 API 會傳回標準無關的安全控制 IDs，而不是在這些功能版本之前存在的標準型控制 IDs。

   **請求範例：**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)` 以取得目前 AWS 帳戶 和 中一或多個控制項的詳細資訊 AWS 區域。

   **請求範例：**

   ```
   {
       "SecurityControlIds": ["Config.1", "IAM.1"]
   }
   ```

------
#### [ AWS CLI ]

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)`命令，並提供一或多個標準 ARNs 以取得控制項 IDs清單。若要取得標準 ARNs，請執行 `describe-standards`命令。如果您未提供標準 ARN，此命令會傳回所有 Security Hub CSPM 控制 IDs。此命令會傳回標準無關的安全控制 IDs，而不是在這些功能版本之前存在的標準型控制 IDs。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-get-security-controls.html)`命令以取得目前 AWS 帳戶 和 中一或多個控制項的詳細資訊 AWS 區域。

   ```
   aws securityhub --region us-east-1 batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'
   ```

------

# 在 Security Hub CSPM 中篩選和排序控制項
<a name="controls-filter-sort"></a>

在 AWS Security Hub CSPM 主控台上，您可以使用**控制項**頁面來檢閱目前 中可用的控制項資料表 AWS 區域。例外狀況是彙總區域。如果您已[設定彙總區域](finding-aggregation.md)並登入該區域，主控台會顯示彙總區域或一或多個連結區域中可用的控制項。

若要專注於特定的控制項子集，您可以排序和篩選控制項資料表。資料表旁的**依選項篩選**可協助您快速專注於這些特定子集：
+ 所有啟用的控制項，都是在至少一個啟用的標準中啟用的控制項。
+ 所有停用的控制項，這是在所有標準中停用的控制項。
+ 具有特定控制項狀態的所有已啟用控制項，例如**失敗**。**無資料**選項只會顯示目前沒有問題清單的控制項。如需控制狀態的資訊，請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。

除了**依選項篩選**之外，您還可以在資料表上方的篩選條件**控制**方塊中輸入篩選條件來篩選資料表。例如，您可以依控制項 ID 或嚴重性進行篩選。

根據預設，狀態為**失敗**的控制項會依嚴重性以遞減順序列出。您可以選擇不同的欄標題來變更排序順序。

**提示**  
如果您有根據控制調查結果的自動化工作流程，建議您使用 `SecurityControlId`或 `SecurityControlArn` [ASFF 欄位](securityhub-findings-format.md)做為篩選條件，而非 `Title`或 `Description` 欄位。後者欄位可能會偶爾變更，而控制項 ID 和 ARN 是靜態識別符。

如果您已登入 Security Hub CSPM 管理員帳戶，**啟用的**控制項包含至少一個成員帳戶中啟用的控制項。如果您已設定彙總區域，**則已啟用**的控制項包括在至少一個連結區域中啟用的控制項。

如果您選取已啟用控制項旁的選項，則會顯示面板，並顯示目前啟用控制項的標準。您也可以查看目前停用控制項的標準。在此面板中，您可以在所有標準中停用控制項。如需詳細資訊，請參閱[在 Security Hub CSPM 中停用控制項](disable-controls-overview.md)。對於管理員帳戶，面板中的資訊會反映所有成員帳戶的設定。

若要以程式設計方式擷取控制項清單，您可以使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)的操作。若要擷取個別控制項的詳細資訊，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)操作。

# 了解 Security Hub CSPM 中的控制參數
<a name="custom-control-parameters"></a>

 AWS Security Hub CSPM 中的某些控制項使用會影響控制項評估方式的參數。一般而言，這類控制項會根據 Security Hub CSPM 定義的預設參數值進行評估。不過，對於這些控制項的子集，您可以修改參數值。當您修改控制項參數值時，Security Hub CSPM 會開始針對您指定的值評估控制項。如果控制項基礎的資源滿足自訂值，Security Hub CSPM 會產生`PASSED`問題清單。如果資源不符合自訂值，Security Hub CSPM 會產生`FAILED`問題清單。

透過自訂控制參數，您可以精簡 Security Hub CSPM 建議和監控的安全最佳實務，以符合您的業務需求和安全期望。您可以自訂一個或多個參數來取得符合您安全需求的調查結果，而不是隱藏控制項的問題清單。

以下是修改控制參數和設定自訂值的一些範例使用案例：
+ **【CloudWatch.16] – CloudWatch 日誌群組應保留一段指定的時間**

  您可以指定保留期間。
+ **【IAM.7】 – IAM 使用者的密碼政策應具有強大的組態**

  您可以指定與密碼強度相關的參數。
+ **【EC2.18】 – 安全群組應僅允許授權連接埠不受限制的傳入流量**

  您可以指定授權哪些連接埠允許不受限制的傳入流量。
+ **【Lambda.5】 – VPC Lambda 函數應在多個可用區域中運作**

  您可以指定產生傳遞調查結果的可用區域數量下限。

本節涵蓋修改控制參數時要考量的事項。

## 修改控制參數值的效果
<a name="custom-control-parameters-overview"></a>

當您變更參數值時，也會觸發新的安全檢查，根據新值評估控制項。然後，Security Hub CSPM 會根據新值產生新的控制調查結果。在控制問題清單的定期更新期間，Security Hub CSPM 也會使用新的參數值。如果您變更控制項的參數值，但尚未啟用包含控制項的任何標準，Security Hub CSPM 不會使用新值執行任何安全檢查。您必須為 Security Hub CSPM 啟用至少一個相關標準，才能根據新的參數值評估控制項。

控制項可以有一或多個可自訂的參數。每個控制參數的可能資料類型包括下列項目：
+ Boolean
+ Double
+ 列舉
+ EnumList
+ Integer
+ IntegerList
+ String
+ StringList

自訂參數值適用於已啟用的標準。您無法自訂目前區域中不支援之控制項的參數。如需個別控制項的區域限制清單，請參閱 [Security Hub CSPM 控制項的區域限制](regions-controls.md)。

對於某些控制項，可接受的參數值必須落在指定的範圍內才有效。在這些情況下，Security Hub CSPM 會提供可接受的範圍。

Security Hub CSPM 選擇預設參數值，偶爾可能會更新它們。自訂控制參數之後，其值會繼續是您為參數指定的值，除非您變更它。也就是說，即使 參數的自訂值符合 Security Hub CSPM 定義的目前預設值， 參數仍會停止追蹤預設 Security Hub CSPM 值的更新。以下是控制項 **【ACM.1】 的範例 – 匯入和 ACM 發行的憑證應在指定的時段後續約**：

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

在上述範例中， `daysToExpiration` 參數的自訂值為 `30`。此參數目前的預設值也是 `30`。如果 Security Hub CSPM 將預設值變更為 `14`，則此範例中的 參數不會追蹤該變更。它將保留 的值`30`。

如果您想要追蹤參數的預設 Security Hub CSPM 值的更新，請將 `ValueType` 欄位設定為 ，`DEFAULT`而不是 `CUSTOM`。如需詳細資訊，請參閱[還原至單一帳戶和區域中的預設控制參數](revert-default-parameter-values.md#revert-default-parameter-values-local-config)。

## 支援自訂參數的控制項
<a name="controls-list-custom-parameters"></a>

如需支援自訂參數的安全控制清單，請參閱 Security Hub CSPM 主控台的**控制**頁面或 [Security Hub CSPM 的控制項參考](securityhub-controls-reference.md)。若要以程式設計方式擷取此清單，您可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)操作。在回應中， `CustomizableProperties` 物件會指出哪些控制項支援可自訂的參數。

# 檢閱目前的控制項參數值
<a name="view-control-parameters"></a>

修改控制參數之前，了解控制參數的目前值會很有幫助。

您可以檢閱帳戶中個別控制參數的目前值。如果您使用中央組態，委派的 AWS Security Hub CSPM 管理員也可以檢閱組態政策中指定的參數值。

選擇您偏好的方法，然後依照步驟檢閱目前的控制參數值。

------
#### [ Security Hub CSPM console ]

**若要檢閱目前的控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**控制項**。選擇控制項。

1. 選擇**參數**索引標籤。此標籤顯示控制項目前的參數值。

------
#### [ Security Hub CSPM API ]

**若要檢閱目前的控制參數值 (API)**

叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) API，並提供一或多個安全控制 IDs或 ARNs。回應中的 `Parameters` 物件會顯示指定控制項的目前參數值。

例如，下列 AWS CLI 命令會顯示 `APIGatway.1`、 `CloudWatch.15`和 的目前參數值`IAM.7`。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

選擇您偏好的方法，以檢視中央組態政策中的目前參數值。

------
#### [ Security Hub CSPM console ]

**若要檢閱組態政策中的目前控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

1. 在導覽窗格中，選擇**設定**和**組態**。

1. 在**政策**索引標籤上，選取組態政策，然後選擇**檢視詳細資訊**。政策詳細資訊隨即出現，包括目前的參數值。

------
#### [ Security Hub CSPM API ]

**若要檢閱組態政策 (API) 中的目前控制參數值**

1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) API。

1. 提供您要查看其詳細資訊之組態政策的 ARN 或 ID。回應包含目前的參數值。

例如，下列 AWS CLI 命令會在指定的組態政策中擷取目前的控制參數值。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

控制調查結果也包含控制參數的目前值。在 中[AWS 安全調查結果格式 (ASFF)](securityhub-findings-format.md)，這些值會出現在 `Compliance` 物件的 `Parameters` 欄位中。若要檢閱 Security Hub CSPM 主控台上的問題清單，請在導覽窗格中選擇**問題清單**。若要以程式設計方式檢閱問題清單，請使用 Security Hub CSPM API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)的操作。

# 自訂控制參數值
<a name="customize-control-parameters"></a>

自訂控制參數的指示會根據您是否在 AWS Security Hub CSPM 中使用[中央組態](central-configuration-intro.md)而有所不同。中央組態是一項功能，委派的 Security Hub CSPM 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub CSPM 功能。

如果您的組織使用中央組態，委派管理員可以建立包含自訂控制參數的組態政策。這些政策可以與集中管理的成員帳戶和 OUs 相關聯，它們在您的主要區域和所有連結區域中生效。委派管理員也可以將一或多個帳戶指定為自我管理，讓帳戶擁有者在每個區域中分別設定自己的參數。如果您的組織不使用中央組態，您必須在每個帳戶和區域中分別自訂控制參數。

我們建議您使用中央組態，因為它可讓您跨組織的不同部分調整控制參數值。例如，所有測試帳戶可能會使用特定參數值，而所有生產帳戶可能會使用不同的值。

## 在多個帳戶和區域中自訂控制參數
<a name="customize-control-parameters-central-config"></a>

如果您是使用中央組態之組織的委派 Security Hub CSPM 管理員，請選擇您偏好的方法，然後依照步驟自訂跨多個帳戶和區域的控制參數。

------
#### [ Security Hub CSPM console ]

**在多個帳戶和區域中自訂控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   確保您已登入主區域。

1. 在導覽窗格中，選擇**設定**和**組態**。

1. 選擇 **Policies (政策)** 標籤。

1. 若要建立新的包含自訂參數的組態政策，請選擇**建立政策**。若要在現有組態政策中指定自訂參數，請選取政策，然後選擇**編輯**。

   **使用自訂控制參數值建立新的組態政策**

   1. 在**自訂政策**區段中，選擇您要啟用的安全標準和控制項。

   1. 選取**自訂控制參數**。

   1. 選取控制項，然後指定一或多個參數的自訂值。

   1. 若要自訂更多控制項的參數，請選擇**自訂其他控制項**。

   1. 在**帳戶**區段中，選取要套用政策的帳戶或 OUs。

   1. 選擇**下一步**。

   1. 選擇**建立政策並套用**。在您的主要區域和所有連結區域中，此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。

   **在現有組態政策中自訂控制參數值**

   1. 在**控制項**區段的**自訂政策**下，指定您想要的新自訂參數值。

   1. 如果這是您第一次在此政策中自訂控制參數，請選取**自訂控制參數**，然後選取要自訂的控制項。若要自訂更多控制項的參數，請選擇**自訂其他控制項**。

   1. 在**帳戶**區段中，驗證您要套用政策的帳戶或 OUs。

   1. 選擇**下一步**。

   1. 檢閱您的變更，並確認其正確無誤。完成後，請選擇**儲存政策並套用**。在您的主要區域和所有連結區域中，此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。

------
#### [ Security Hub CSPM API ]

**在多個帳戶和區域中自訂控制參數值 (API)**

**使用自訂控制參數值建立新的組態政策**

1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API。

1. 針對 `SecurityControlCustomParameters` 物件，提供您要自訂之每個控制項的識別符。

1. 針對 `Parameters` 物件，提供您要自訂的每個參數的名稱。針對您自訂的每個參數，提供 `CUSTOM`給 `ValueType`。對於 `Value`，請提供 參數的資料類型和自訂值。當 `ValueType`為 時， `Value` 欄位不可為空白`CUSTOM`。如果您的請求省略 控制項支援的參數，則該參數會保留其目前值。您可以透過叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API 來尋找控制項支援的參數、資料類型和有效值。

**在現有組態政策中自訂控制參數值**

1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。

1. 針對 `Identifier` 欄位，提供您要更新的組態政策的 Amazon Resource Name (ARN) 或 ID。

1. 針對 `SecurityControlCustomParameters` 物件，提供您要自訂之每個控制項的識別符。

1. 針對 `Parameters` 物件，提供您要自訂的每個參數的名稱。針對您自訂的每個參數，提供 `CUSTOM`給 `ValueType`。對於 `Value`，請提供 參數的資料類型和自訂值。如果您的請求省略 控制項支援的參數，則該參數會保留其目前值。您可以叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API 來尋找控制項支援的參數、資料類型和有效值。

例如，下列 AWS CLI 命令會為 `daysToExpiration` 參數建立具有自訂值的新組態政策`ACM.1`。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## 在單一帳戶和區域中自訂控制參數
<a name="customize-control-parameters-local-config"></a>

如果您不使用中央組態或擁有自我管理帳戶，您一次只能在一個區域中自訂帳戶的控制參數。

選擇您偏好的方法，然後依照步驟自訂控制參數。您的變更僅適用於目前區域中的帳戶。若要在其他區域中自訂控制參數，請在您要自訂參數的每個其他帳戶和區域中重複下列步驟。相同的控制項可以在不同的區域中使用不同的參數值。

------
#### [ Security Hub CSPM console ]

**在一個帳戶和區域中自訂控制參數值 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**控制項**。在表格中，選擇支援自訂參數且您想要變更參數的控制項。**自訂參數**欄指出哪些控制項支援自訂參數。

1. 在控制項的詳細資訊頁面上，選擇**參數**索引標籤，然後選擇**編輯**。

1. 指定您想要的參數值。

1. 或者，在**變更原因**區段中，選取自訂參數的原因。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

**在一個帳戶和區域中自訂控制參數值 (API)**

1. 叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API。

1. 針對 `SecurityControlId`，提供您要自訂之控制項的 ID。

1. 針對 `Parameters` 物件，提供您要自訂的每個參數的名稱。針對您自訂的每個參數，提供 `CUSTOM`給 `ValueType`。對於 `Value`，請提供 參數的資料類型和自訂值。如果您的請求省略 控制項支援的參數，則該參數會保留其目前值。您可以透過叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API 來尋找控制項支援的參數、資料類型和有效值。

1. 或者，對於 `LastUpdateReason`，提供自訂控制參數的原因。

例如，下列 AWS CLI 命令會定義 `daysToExpiration` 參數的自訂值`ACM.1`。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# 還原至預設控制參數值
<a name="revert-default-parameter-values"></a>

控制參數可以具有 AWS Security Hub CSPM 定義的預設值。有時，Security Hub CSPM 會更新參數的預設值，以反映不斷變化的安全最佳實務。如果您尚未指定控制項參數的自訂值，控制項會自動追蹤這些更新，並使用新的預設值。

您可以還原為使用控制項的預設參數值。還原的指示取決於您是否在 Security Hub CSPM 中使用[中央組態](central-configuration-intro.md)。中央組態是一項功能，委派的 Security Hub CSPM 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub CSPM 功能。

**注意**  
並非所有控制參數都有預設的 Security Hub CSPM 值。在這種情況下，當 `ValueType` 設為 時`DEFAULT`，Security Hub CSPM 不會使用特定的預設值。相反地，如果沒有自訂值，Security Hub CSPM 會忽略 參數。

## 在多個帳戶和區域中還原為預設控制參數
<a name="revert-default-parameter-values-central-config"></a>

如果您使用中央組態，則可以還原主區域和連結區域中多個集中受管帳戶和 OUs 的控制參數。

選擇您偏好的方法，然後依照步驟，使用中央組態在多個帳戶和區域中還原為預設參數值。

------
#### [ Security Hub CSPM console ]

**在多個帳戶和區域中還原為預設控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

1. 在導覽窗格中，選擇**設定**和**組態**。

1. 選擇 **Policies (政策)** 標籤。

1. 選取政策，然後選擇**編輯**。

1. 在**自訂政策**下，**控制項**區段會顯示您指定自訂參數的控制項清單。

1. 尋找具有一或多個參數值要還原的控制項。然後，選擇**移除**以還原為預設值。

1. 在**帳戶**區段中，驗證您要套用政策的帳戶或 OUs。

1. 選擇**下一步**。

1. 檢閱您的變更，並確認其正確無誤。完成後，請選擇**儲存政策並套用**。在您的主要區域和所有連結區域中，此動作會覆寫與此組態政策相關聯的帳戶和 OUs 的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。

------
#### [ Security Hub CSPM API ]

**還原至多個帳戶和區域中的預設控制參數值 (API)**

1. 從主要區域中的委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API。

1. 針對 `Identifier` 欄位，提供您要更新之政策的 Amazon Resource Name (ARN) 或 ID。

1. 針對 `SecurityControlCustomParameters` 物件，提供您要還原一或多個參數之每個控制項的識別符。

1. 在 `Parameters` 物件中，針對您要還原的每個參數，`DEFAULT`為 `ValueType` 欄位提供 。當 `ValueType` 設為 時`DEFAULT`，您不需要為 `Value` 欄位提供值。如果您的請求中包含值，Security Hub CSPM 會忽略該值。如果您的請求省略 控制項支援的參數，則該參數會保留其目前值。

**警告**  
如果您省略 `SecurityControlCustomParameters` 欄位的控制項物件，Security Hub CSPM 會將控制項的所有自訂參數還原為其預設值。的完全空白清單會將所有控制項的自訂參數`SecurityControlCustomParameters`還原為其預設值。

例如，下列 AWS CLI 命令會將 的`daysToExpiration`控制參數還原`ACM.1`為指定組態政策中的預設值。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## 還原至單一帳戶和區域中的預設控制參數
<a name="revert-default-parameter-values-local-config"></a>

如果您不使用中央組態或擁有自我管理帳戶，您可以一次還原為在一個區域中使用帳戶的預設參數值。

選擇您偏好的方法，然後依照步驟還原為單一區域中您帳戶的預設參數值。若要在其他區域中還原為預設參數值，請在每個其他區域中重複這些步驟。

**注意**  
如果您停用 Security Hub CSPM，則會重設您的自訂控制參數。如果您未來再次啟用 Security Hub CSPM，所有控制項都會使用預設參數值來啟動。

------
#### [ Security Hub CSPM console ]

**還原至一個帳戶和區域中的預設控制參數值 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**控制項**。選擇您要還原為預設參數值的控制項。

1. 在 `Parameters`索引標籤上，選擇控制項參數旁的**自訂**。然後，選擇**移除自訂**。此參數現在使用預設 Security Hub CSPM 值，並追蹤預設值的未來更新。

1. 針對您要還原的每個參數值，重複上述步驟。

------
#### [ Security Hub CSPM API ]

**還原至一個帳戶和區域中的預設控制參數值 (API)**

1. 叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API。

1. 針對 `SecurityControlId`，提供您要還原其參數之控制項的 ARN 或 ID。

1. 在 `Parameters` 物件中，針對您要還原的每個參數，`DEFAULT`為 `ValueType` 欄位提供 。當 `ValueType` 設為 時`DEFAULT`，您不需要為 `Value` 欄位提供值。如果您的請求中包含值，Security Hub CSPM 會忽略該值。

1. 或者，對於 `LastUpdateReason`，提供還原為預設參數值的原因。

例如，下列 AWS CLI 命令會將 的`daysToExpiration`控制參數還原`ACM.1`為其預設值。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# 檢查控制參數變更的狀態
<a name="parameter-update-status"></a>

當您嘗試自訂控制參數或還原為預設值時，您可以驗證所需的變更是否有效。這有助於確保控制項如您預期般運作，並提供預期的安全值。如果參數更新失敗，Security Hub CSPM 會保留 參數的目前值。

若要驗證參數更新是否成功，您可以在 Security Hub CSPM 主控台上檢閱控制項的詳細資訊。在 主控台上，選擇導覽窗格中的**控制項**。然後，選擇控制項以顯示其詳細資訊。**參數**索引標籤會顯示參數變更的狀態。

以程式設計方式，如果您更新參數的請求有效， `UpdateStatus` 欄位的值會`UPDATING`回應 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)操作。這表示更新有效，但所有調查結果可能尚未包含更新的參數值。當 的值`UpdateState`變更為 時`READY`，Security Hub CSPM 會在執行控制項的安全檢查時使用更新的控制項參數值。調查結果包含更新的參數值。

`UpdateSecurityControl` 操作會傳回無效參數值的`InvalidInputException`回應。回應提供失敗原因的其他詳細資訊。例如，您可能已指定超出參數有效範圍的值。或者，您可能已指定未使用正確資料類型的值。使用有效的輸入再次提交您的請求。

如果您嘗試更新參數值時發生內部故障，則如果您 AWS Config 已啟用，Security Hub CSPM 會自動重試。如需詳細資訊，請參閱[啟用和設定 之前的考量事項 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)。

# 在 Security Hub CSPM 中檢閱和管理控制問題清單
<a name="securityhub-control-manage-findings"></a>

控制項詳細資訊頁面會顯示控制項的作用中問題清單。清單不包含封存的問題清單。

控制項詳細資訊頁面支援跨區域彙總。如果您已設定彙總區域，控制詳細資訊頁面上的控制項狀態和安全檢查清單會包含所有連結的檢查 AWS 區域。

此清單提供工具來篩選和排序問題清單，讓您可以先專注於更緊急的問題清單。問題清單可能包含相關服務主控台中資源詳細資訊的連結。對於以 AWS Config 規則為基礎的控制項，您可以檢視規則的詳細資訊。

您也可以使用 AWS Security Hub CSPM API 來擷取問題清單和問題清單詳細資訊。

如需詳細資訊，請參閱[檢閱問題清單詳細資訊和歷史記錄](securityhub-findings-viewing.md#finding-view-details-console)。

若要反映控制項調查結果調查的目前狀態，您可以設定工作流程狀態。如需詳細資訊，請參閱[在 Security Hub CSPM 中設定問題清單的工作流程狀態](findings-workflow-status.md)。

您也可以將選取的 Security Hub CSPM 調查結果傳送至 Amazon EventBridge 中的自訂動作。如需詳細資訊，請參閱[將問題清單傳送至自訂 Security Hub CSPM 動作](findings-custom-action.md)。

**Topics**
+ [

# 篩選和排序控制項問題清單
](control-finding-list.md)
+ [

# 控制問題清單的範例
](sample-control-findings.md)

# 篩選和排序控制項問題清單
<a name="control-finding-list"></a>

從 AWS Security Hub CSPM 主控台的**控制項**頁面或從標準的詳細資訊頁面選取控制項，將帶您前往控制項詳細資訊頁面。

控制項詳細資訊頁面會顯示控制項的標題和描述、整體控制項狀態，以及過去 24 小時內控制項的安全檢查明細。

使用控制項檢查清單旁的**依選項篩選**，快速專注於具有特定[工作流程狀態](findings-workflow-status.md)或[合規狀態](controls-overall-status.md#controls-overall-status-compliance-status)的問題清單。

除了**依選項篩選**之外，您還可以使用**新增篩選條件**方塊，依其他欄位篩選檢查清單，例如 AWS 帳戶 ID 或資源 ID。

根據預設，合規狀態為 **PASSED** 的問題清單會先列出。您可以在資料欄標頭中選擇不同的選項，以變更預設排序。

從控制項詳細資訊頁面，您可以選擇**下載**，將目前的控制項問題清單頁面下載至 .csv 檔案。

如果您篩選調查結果清單，則下載只會包含符合篩選條件的控制項。如果您從清單中選取特定問題清單，則下載只會包含選取的問題清單。

如需篩選問題清單的詳細資訊，請參閱 [在 Security Hub CSPM 中篩選問題清單](securityhub-findings-manage.md)。

# 控制問題清單的範例
<a name="sample-control-findings"></a>

下列範例提供 AWS 安全調查結果格式 (ASFF) 中 AWS Security Hub CSPM 控制調查結果的範例。控制調查結果的內容會因您是否啟用合併控制調查結果而有所不同。

如果您啟用合併的控制項調查結果，即使控制項適用於多個啟用的標準，Security Hub CSPM 也會為控制項產生單一調查結果。如果您未啟用此功能，Security Hub CSPM 會為每個控制項套用的已啟用標準產生單獨的控制項調查結果。例如，如果您啟用兩個標準，且控制項同時套用到這兩個標準，您會收到兩個單獨的控制項調查結果，每個標準各一個。如果您啟用合併的控制項問題清單，則只會收到一個控制項的問題清單。如需詳細資訊，請參閱[合併的控制問題清單](controls-findings-create-update.md#consolidated-control-findings)。

本頁面上的範例提供兩種案例的範例。這些範例包括：停用合併控制調查結果時控制個別 Security Hub CSPM 標準的調查結果，以及啟用合併控制調查結果時控制多個 Security Hub CSPM 標準的調查結果。

**Topics**
+ [

## AWS 基礎安全最佳實務標準的範例調查結果
](#sample-finding-fsbp)
+ [

## CIS AWS Foundations Benchmark v5.0.0 的問題清單範例
](#sample-finding-cis-5)
+ [

## CIS AWS Foundations Benchmark v3.0.0 的問題清單範例
](#sample-finding-cis-3)
+ [

## CIS AWS Foundations Benchmark 1.4.0 版的範例調查結果
](#sample-finding-cis-1.4)
+ [

## CIS AWS Foundations Benchmark 1.2.0 版的範例調查結果
](#sample-finding-cis-1.2)
+ [

## NIST SP 800-53 修訂版 5 標準的範例調查結果
](#sample-finding-nist-800-53)
+ [

## NIST SP 800-171 修訂版 2 標準的範例調查結果
](#sample-finding-nist-800-171)
+ [

## 支付卡產業資料安全標準 v3.2.1 的範例調查結果
](#sample-finding-pcidss-v321)
+ [

## AWS 資源標記標準的範例問題清單
](#sample-finding-tagging)
+ [

## AWS Control Tower 服務受管標準的範例調查結果
](#sample-finding-service-managed-aws-control-tower)
+ [

## 多個標準的範例合併調查結果
](#sample-finding-consolidation)

**注意**  
控制調查結果參考中國區域和 AWS GovCloud (US) 區域中的不同欄位和值。如需詳細資訊，請參閱[整合對 ASFF 欄位和值的影響](asff-changes-consolidation.md)。

## AWS 基礎安全最佳實務標準的範例調查結果
<a name="sample-finding-fsbp"></a>

下列範例提供適用於 AWS 基礎安全最佳實務 (FSBP) 標準之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.076Z",
  "LastObservedAt": "2021-09-28T16:10:06.956Z",
  "CreatedAt": "2020-08-06T02:18:23.076Z",
  "UpdatedAt": "2021-09-28T16:10:00.093Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/aws-foundation-best-practices/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/AWS-Foundational-Security-Best-Practices"
    ]
  }
}
```

## CIS AWS Foundations Benchmark v5.0.0 的問題清單範例
<a name="sample-finding-cis-5"></a>

下列範例提供適用於 CIS AWS Foundations Benchmark v5.0.0 之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "AwsAccountId": "123456789012",
  "CompanyName": "AWS",
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.7",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v5.0.0/5.1.1"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/5.0.0"
      }
    ]
  },
  "CreatedAt": "2025-10-10T17:04:00.952Z",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Product": 40,
      "Original": "MEDIUM"
    }
  },
  "FirstObservedAt": "2025-10-10T17:03:57.895Z",
  "GeneratorId": "cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
  "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
  "LastObservedAt": "2025-10-14T05:22:28.667Z",
  "ProcessedAt": "2025-10-14T05:22:50.099Z",
  "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0",
    "ControlId": "5.1.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2a99554f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/5.0.0/5.1.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/5.0.0/5.1.1/finding/443a9d3f-8a59-4fa0-8e2c-EXAMPLE111",
    "PreviousComplianceStatus": "FAILED"
  },
  "ProductName": "Security Hub CSPM",
  "RecordState": "ACTIVE",
  "Region": "us-west-1",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "Resources": [
    {
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-west-1",
      "Type": "AwsAccount"
    }
  ],
  "SchemaVersion": "2018-10-08",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM",
    "Product": 40
  },
  "Title": "5.1.1 EBS default encryption should be enabled",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "UpdatedAt": "2025-10-14T05:22:38.671Z",
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW"
}
```

## CIS AWS Foundations Benchmark v3.0.0 的問題清單範例
<a name="sample-finding-cis-3"></a>

下列範例提供適用於 CIS AWS Foundations Benchmark v3.0.0 之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2024-04-18T07:46:18.193Z",
  "LastObservedAt": "2024-04-23T07:47:01.137Z",
  "CreatedAt": "2024-04-18T07:46:18.193Z",
  "UpdatedAt": "2024-04-23T07:46:46.165Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.2.1 EBS default encryption should be enabled",
  "Description": "Elastic Compute Cloud (EC2) supports encryption at rest when using the Elastic Block Store (EBS) service. While disabled by default, forcing encryption at EBS volume creation is supported.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0",
    "ControlId": "2.2.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/EC2.7/remediation",
    "RelatedAWSResources:0/name": "securityhub-ec2-ebs-encryption-by-default-2843ed9e",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/3.0.0/2.2.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "EBS Encryption by default is not enabled.",
    "Resources:0/Id": "arn:aws:iam::123456789012:root",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/3.0.0/2.2.1/finding/38a89798-6819-4fae-861f-9cca8034602c"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v3.0.0/2.2.1"
    ],
    "SecurityControlId": "EC2.7",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  },
  "ProcessedAt": "2024-04-23T07:47:07.088Z"
}
```

## CIS AWS Foundations Benchmark 1.4.0 版的範例調查結果
<a name="sample-finding-cis-1.4"></a>

下列範例提供適用於 CIS AWS Foundations Benchmark v1.4.0 之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "cis-aws-foundations-benchmark/v/1.4.0/3.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2022-10-21T22:14:48.913Z",
  "LastObservedAt": "2022-12-22T22:24:56.980Z",
  "CreatedAt": "2022-10-21T22:14:48.913Z",
  "UpdatedAt": "2022-12-22T22:24:52.409Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "3.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS CloudTrail is a web service that records AWS API calls for an account and makes those logs available to users and resources in accordance with IAM policies. AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and AWS KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0",
    "ControlId": "3.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-855f82d1",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/cis-aws-foundations-benchmark/v/1.4.0/3.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.4.0/3.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.4.0/3.7"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## CIS AWS Foundations Benchmark 1.2.0 版的範例調查結果
<a name="sample-finding-cis-1.2"></a>

下列範例提供適用於 CIS AWS Foundations Benchmark v1.2.0 之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
  ],
  "FirstObservedAt": "2020-08-29T04:10:06.337Z",
  "LastObservedAt": "2021-09-28T16:10:05.350Z",
  "CreatedAt": "2020-08-29T04:10:06.337Z",
  "UpdatedAt": "2021-09-28T16:10:00.087Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs",
  "Description": "AWS Key Management Service (KMS) is a managed service that helps create and control the encryption keys used to encrypt account data, and uses Hardware Security Modules (HSMs) to protect the security of encryption keys. CloudTrail logs can be configured to leverage server side encryption (SSE) and KMS customer created master keys (CMK) to further protect CloudTrail logs. It is recommended that CloudTrail be configured to use SSE-KMS.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
    "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
    "RuleId": "2.7",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/2.7",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/2.7/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
    ]
  }
}
```

## NIST SP 800-53 修訂版 5 標準的範例調查結果
<a name="sample-finding-nist-800-53"></a>

下列範例提供適用於 NIST SP 800-53 修訂版 5 標準之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-53/v/5.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2023-02-17T14:22:46.726Z",
  "LastObservedAt": "2023-02-17T14:22:50.846Z",
  "CreatedAt": "2023-02-17T14:22:46.726Z",
  "UpdatedAt": "2023-02-17T14:22:46.726Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to fix this issue, consult the AWS Security Hub CSPM NIST 800-53 R5 documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-53/v/5.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.9/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-west-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-53/v/5.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",

      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",

      "Partition": "aws",

      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
        "NIST.800-53.r5 AU-9",
        "NIST.800-53.r5 CA-9(1)",
        "NIST.800-53.r5 CM-3(6)",
        "NIST.800-53.r5 SC-13",
        "NIST.800-53.r5 SC-28",
        "NIST.800-53.r5 SC-28(1)",
        "NIST.800-53.r5 SC-7(10)",
        "NIST.800-53.r5 SI-7(6)"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-53/v/5.0.0"
      }
    ]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2023-02-17T14:22:53.572Z"
}
```

## NIST SP 800-171 修訂版 2 標準的範例調查結果
<a name="sample-finding-nist-800-171"></a>

下列範例提供適用於 NIST SP 800-171 修訂版 2 標準之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "nist-800-171/v/2.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "AwsAccountName": "TestAcct",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2025-05-29T05:23:58.690Z",
  "LastObservedAt": "2025-05-30T05:50:11.898Z",
  "CreatedAt": "2025-05-29T05:24:24.772Z",
  "UpdatedAt": "2025-05-30T05:50:34.292Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/nist-800-171/v/2.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0",
    "ControlId": "CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-0ab1c2d4",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/nist-800-171/v/2.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/nist-800-171/v/2.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Id": "arn:aws:cloudtrail:ca-central-1:123456789012:trail/aws-BaselineCloudTrail",
      "Partition": "aws",
      "Region": "us-east-1",
      "Type": "AwsCloudTrailTrail"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "NIST.800-171.r2/3.3.8"
    ],
    "AssociatedStandards": [
      {
        "StandardsId": "standards/nist-800-171/v/2.0.0"
      }
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Product": 40,
      "Label": "MEDIUM",
      "Normalized": 40,
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T05:50:40.297Z"
}
```

## 支付卡產業資料安全標準 v3.2.1 的範例調查結果
<a name="sample-finding-pcidss-v321"></a>

下列範例提供適用於支付卡產業資料安全標準 (PCI DSS) v3.2.1 的控制項調查結果範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-2::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-2",
  "GeneratorId": "pci-dss/v/3.2.1/PCI.CloudTrail.1",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
  ],
  "FirstObservedAt": "2020-08-06T02:18:23.089Z",
  "LastObservedAt": "2021-09-28T16:10:06.942Z",
  "CreatedAt": "2020-08-06T02:18:23.089Z",
  "UpdatedAt": "2021-09-28T16:10:00.090Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "PCI.CloudTrail.1 CloudTrail logs should be encrypted at rest using AWS KMS CMKs",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption by checking if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For directions on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1",
    "ControlId": "PCI.CloudTrail.1",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "Related AWS Resources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "Related AWS Resources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-2:123456789012:control/pci-dss/v/3.2.1/PCI.CloudTrail.1",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-2::product/aws/securityhub/arn:aws:securityhub:us-east-2:123456789012:subscription/pci-dss/v/3.2.1/PCI.CloudTrail.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWS MacieTrail-DO-NOT-EDIT",
      "Partition": "aws",
      "Region": "us-east-2"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "RelatedRequirements": [
      "PCI DSS 3.4"
    ],
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/pci-dss/v/3.2.1"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
    ]
  }
}
```

## AWS 資源標記標準的範例問題清單
<a name="sample-finding-tagging"></a>

下列範例提供適用於 AWS 資源標記標準之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "eu-central-1",
  "GeneratorId": "security-control/EC2.44",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-02-19T21:00:32.206Z",
  "LastObservedAt": "2024-04-29T13:01:57.861Z",
  "CreatedAt": "2024-02-19T21:00:32.206Z",
  "UpdatedAt": "2024-04-29T13:01:41.242Z",
  "Severity": {
    "Label": "LOW",
    "Normalized": 1,
    "Original": "LOW"
  },
  "Title": "EC2 subnets should be tagged",
  "Description": "This control checks whether an Amazon EC2 subnet has tags with the specific keys defined in the parameter requiredTagKeys. The control fails if the subnet doesn't have any tag keys or if it doesn't have all the keys specified in the parameter requiredTagKeys. If the parameter requiredTagKeys isn't provided, the control only checks for the existence of a tag key and fails if the subnet isn't tagged with any key. System tags, which are automatically applied and begin with aws:, are ignored.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/EC2.44/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-tagged-ec2-subnet-6ceafede",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "aws/securityhub/annotation": "No tags are present.",
    "Resources:0/Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
    "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:security-control/EC2.44/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsEc2Subnet",
      "Id": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
      "Partition": "aws",
      "Region": "eu-central-1",
      "Details": {
        "AwsEc2Subnet": {
          "AssignIpv6AddressOnCreation": false,
          "AvailabilityZone": "eu-central-1b",
          "AvailabilityZoneId": "euc1-az3",
          "AvailableIpAddressCount": 4091,
          "CidrBlock": "10.24.34.0/23",
          "DefaultForAz": true,
          "MapPublicIpOnLaunch": true,
          "OwnerId": "123456789012",
          "State": "available",
          "SubnetArn": "arn:aws:ec2:eu-central-1:123456789012:subnet/subnet-1234567890abcdef0",
          "SubnetId": "subnet-1234567890abcdef0",
          "VpcId": "vpc-021345abcdef6789"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "EC2.44",
    "AssociatedStandards": [
      {
        "StandardsId": "standards/aws-resource-tagging-standard/v/1.0.0"
      }
    ],
    "SecurityControlParameters": [
      {
        "Name": "requiredTagKeys",
        "Value": [
          "peepoo"
        ]
      }
    ],
            },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW",
      "Original": "LOW"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  },
  "ProcessedAt": "2024-04-29T13:02:03.259Z"
}
```

## AWS Control Tower 服務受管標準的範例調查結果
<a name="sample-finding-service-managed-aws-control-tower"></a>

下列範例提供適用於 AWS Control Tower 服務受管標準之控制項的問題清單範例。在此範例中，會停用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub CSPM",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2022-11-17T01:25:30.296Z",
  "LastObservedAt": "2022-11-17T01:25:45.805Z",
  "CreatedAt": "2022-11-17T01:25:30.296Z",
  "UpdatedAt": "2022-11-17T01:25:30.296Z",
  "Severity": {
    "Product": 40,
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CT.CloudTrail.2 CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "StandardsArn": "arn:aws:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0",
    "StandardsSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0",
    "ControlId": "CT.CloudTrail.2",
    "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-fe95bf3f",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "StandardsControlArn": "arn:aws:securityhub:us-east-1:123456789012:control/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2",
    "aws/securityhub/ProductName": "Security Hub CSPM",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-2:123456789012:trail/AWSMacieTrail-DO-NOT-EDIT",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/service-managed-aws-control-tower/v/1.0.0/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsAccount",
      "Id": "AWS::::Account:123456789012",
      "Partition": "aws",
      "Region": "us-east-1"
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "AssociatedStandards": [{
      "StandardsId": "standards/service-managed-aws-control-tower/v/1.0.0"
    }]
  },
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    },
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ]
  }
}
```

## 多個標準的範例合併調查結果
<a name="sample-finding-consolidation"></a>

下列範例提供適用於多個已啟用標準之控制項的調查結果範例。在此範例中，會啟用合併控制問題清單。

```
{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "ProductName": "Security Hub",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "security-control/CloudTrail.2",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Industry and Regulatory Standards"
  ],
  "FirstObservedAt": "2024-08-09T14:57:04.521Z",
  "LastObservedAt": "2025-05-30T03:30:17.407Z",
  "CreatedAt": "2024-08-09T14:57:04.521Z",
  "UpdatedAt": "2025-05-30T03:30:32.781Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "MEDIUM"
  },
  "Title": "CloudTrail should have encryption at-rest enabled",
  "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
  "Remediation": {
    "Recommendation": {
      "Text": "For information on how to correct this issue, consult the AWS Security Hub CSPM controls documentation.",
      "Url": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation"
    }
  },
  "ProductFields": {
    "RelatedAWSResources:0/name": "securityhub-cloud-trail-encryption-enabled-01a2b345",
    "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
    "aws/securityhub/ProductName": "Security Hub",
    "aws/securityhub/CompanyName": "AWS",
    "Resources:0/Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/CloudTrail.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
  },
  "Resources": [
    {
      "Type": "AwsCloudTrailTrail",
      "Id": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TestTrail-DO-NOT-DELETE",
      "Partition": "aws",
      "Region": "us-east-1",
      "Details": {
        "AwsCloudTrailTrail": {
          "HasCustomEventSelectors": false,
          "IncludeGlobalServiceEvents": true,
          "LogFileValidationEnabled": true,
          "HomeRegion": "us-east-1",
          "IsMultiRegionTrail": true,
          "S3BucketName": "cloudtrail-awslogs-do-not-delete",
          "IsOrganizationTrail": false,
          "Name": "TestTrail-DO-NOT-DELETE"
        }
      }
    }
  ],
  "Compliance": {
    "Status": "FAILED",
    "SecurityControlId": "CloudTrail.2",
    "RelatedRequirements": [
      "CIS AWS Foundations Benchmark v1.2.0/2.7",
      "CIS AWS Foundations Benchmark v1.4.0/3.7",
      "CIS AWS Foundations Benchmark v3.0.0/3.5",
      "NIST.800-171.r2/3.3.8",
      "PCI DSS v3.2.1/3.4",
      "PCI DSS v4.0.1/10.3.2"
    ],
    "AssociatedStandards": [
      { "StandardsId": "ruleset/cis-aws-foundations-benchmark/v/1.2.0"},
      { "StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/1.4.0"},
      { "StandardsId": "standards/cis-aws-foundations-benchmark/v/3.0.0"},
      { "StandardsId": "standards/nist-800-171/v/2.0.0"},
      { "StandardsId": "standards/pci-dss/v/3.2.1"},
      { "StandardsId": "standards/pci-dss/v/4.0.1"}
    ]
  },
  "Workflow": {
    "Status": "NEW"
  },
  "WorkflowState": "NEW",
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Types": [
      "Software and Configuration Checks/Industry and Regulatory Standards"
    ],
    "Severity": {
      "Normalized": 40,
      "Label": "MEDIUM",
      "Original": "MEDIUM"
    }
  },
  "ProcessedAt": "2025-05-30T03:31:00.831Z"
}
```