本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Hub CSPM 中停用控制項
<a name="disable-controls-overview"></a>

為了減少調查結果雜訊，停用與您的環境無關的控制項會很有幫助。在 AWS Security Hub CSPM 中，您可以停用所有安全標準或僅針對特定標準的控制項。

如果您停用所有標準的控制項，會發生下列情況：
+ 不再執行控制項的安全檢查。
+ 不會為控制項產生其他問題清單。
+ 控制項的現有問題清單不會再更新。
+ 控制項的現有問題清單會自動封存，通常會在 3-5 天內盡力封存。
+ Security Hub CSPM 會移除它為控制項建立的任何相關 AWS Config 規則。

如果您僅針對特定標準停用控制項，Security Hub CSPM 會停止僅針對這些標準執行控制項的安全檢查。這也會從計算每個標準[的安全分數](standards-security-score.md)中移除控制。如果在其他標準中啟用控制項，如果適用，Security Hub CSPM 會保留相關聯的 AWS Config 規則，並繼續執行其他標準的控制項安全檢查。Security Hub CSPM 也會在計算其他每個標準的安全分數時包含控制項，這會影響您的摘要安全分數。

如果您停用標準，則適用於標準的所有控制項都會針對該標準自動停用。不過，在其他標準中可能會繼續啟用控制項。當您停用標準時，Security Hub CSPM 不會追蹤針對標準停用哪些控制項。因此，如果您稍後重新啟用相同的標準，則會自動啟用所有適用於它的控制項。如需停用標準的資訊，請參閱 [停用標準](disable-standards.md)。

停用控制項不是永久動作。假設您停用控制項，然後啟用包含控制項的標準。接著會針對該標準啟用控制項。當您在 Security Hub CSPM 中啟用標準時，會自動啟用適用於標準的所有控制項。如需啟用標準的資訊，請參閱 [啟用標準](enable-standards.md)。

**Topics**
+ [停用跨標準的控制項](disable-controls-across-standards.md)
+ [在特定標準中停用控制項](disable-controls-standard.md)
+ [要停用的建議控制項](controls-to-disable.md)

# 停用跨標準的控制項
<a name="disable-controls-across-standards"></a>

我們建議跨標準停用 AWS Security Hub CSPM 控制，以在整個組織中保持一致。如果您僅在特定標準中停用控制項，如果在其他標準中啟用控制項，您仍會繼續收到控制項的問題清單。

## 多個帳戶和區域中的跨標準停用
<a name="disable-controls-all-standards-central-configuration"></a>

若要停用多個 AWS 帳戶 和 之間的安全控制 AWS 區域，您必須使用[中央組態](central-configuration-intro.md)。

當您使用中央組態時，委派管理員可以建立 Security Hub CSPM 組態政策，以停用跨啟用標準指定的控制項。然後，您可以將組態政策與特定帳戶、OUs 或根帳戶建立關聯。組態政策會在您的主要區域 （也稱為彙總區域） 和所有連結區域生效。

組態政策提供自訂功能。例如，您可以選擇停用一個 OU 中的所有 AWS CloudTrail 控制項，也可以選擇停用另一個 OU 中的所有 IAM 控制項。精細程度取決於組織中安全涵蓋範圍的預期目標。如需建立停用跨標準指定控制項之組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**注意**  
委派管理員可以建立組態政策，以管理[服務受管標準以外的所有標準中的控制項： AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)此標準的控制項應在 AWS Control Tower 服務中設定。

如果您希望某些帳戶設定自己的控制項，而不是委派管理員，委派管理員可以將這些帳戶指定為自我管理。自我管理帳戶必須在每個區域中分別設定控制項。

## 單一帳戶和區域中的跨標準停用
<a name="disable-controls-all-standards"></a>

如果您不使用中央組態或 是自我管理帳戶，則無法使用組態政策來集中停用多個帳戶和區域中的控制項。不過，您可以在單一帳戶和區域中停用控制項。

------
#### [ Security Hub CSPM console ]

**停用一個帳戶和區域中跨標準的控制項**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**控制項**。

1. 選擇控制項旁的選項。

1. 選擇**停用控制**。此選項不會針對已停用的控制項顯示。

1. 選取停用控制項的原因，然後選擇**停用**以確認。

1. 在您要停用控制項的每個區域中重複此動作。

------
#### [ Security Hub CSPM API ]

**停用一個帳戶和區域中跨標準的控制項**

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控制 ID。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供啟用控制項的任何標準的 ARN。若要取得標準 ARNs，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟，API 會傳回 HTTP 狀態碼 200 回應。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. 在您要停用控制項的每個區域中重複此動作。

------
#### [ AWS CLI ]

**停用一個帳戶和區域中跨標準的控制項**

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控制 ID。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供啟用控制項的任何標準的 ARN。若要取得標準 ARNs，請執行 `describe-standards`命令。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟，命令會傳回 HTTP 狀態碼 200 回應。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. 在您要停用控制項的每個區域中重複此動作。

------

# 在特定標準中停用控制項
<a name="disable-controls-standard"></a>

您只能在特定安全標準中停用控制項，而不是在所有標準中停用。如果控制項適用於其他已啟用的標準， AWS Security Hub CSPM 會繼續執行控制項的安全檢查，而且您會持續收到控制項的問題清單。

建議您在套用控制項的所有已啟用標準中，調整控制項的啟用狀態。如需停用適用於其所有標準之控制項的詳細資訊，請參閱 [停用跨標準的控制項](disable-controls-across-standards.md)。

在標準詳細資訊頁面上，您也可以在特定標準中停用控制項。您必須在每個 AWS 帳戶 和 中分別停用特定標準中的控制項 AWS 區域。當您在特定標準中停用控制項時，它只會影響目前的帳戶和區域。

選擇您偏好的方法，並依照下列步驟停用一或多個特定標準的控制項。

------
#### [ Security Hub CSPM console ]

**停用特定標準中的控制項**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 從導覽窗格中選擇**安全標準**。選擇 **檢視相關標準的結果**。

1. 選取控制項。

1. 選擇**停用控制**。此選項不會針對已停用的控制項顯示。

1. 提供停用控制項的原因，然後選擇**停用**進行確認。

------
#### [ Security Hub CSPM API ]

**停用特定標準中的控制項**

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 會傳回標準無關的安全控制 IDs，而非標準特定的控制 IDs。

   **請求範例：**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   **請求範例：**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. 執行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您要停用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已停用的控制項遵循這些步驟，API 會傳回 HTTP 狀態碼 200 回應。

   **請求範例：**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**停用特定標準中的控制項**

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)`命令，並提供標準 ARN，以取得特定標準的可用控制項清單。若要取得標準 ARN，請執行 `describe-standards`。此命令會傳回標準無關的安全控制 IDs，而不是標準特定的控制 IDs。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)`命令，並提供特定的控制項 ID，以傳回每個標準中控制項的目前啟用狀態。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. 執行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您要停用控制項之標準 ARN。

1. 將 `AssociationStatus` 參數設定為等於 `DISABLED`。如果您針對已啟用的控制項遵循這些步驟，命令會傳回 HTTP 狀態碼 200 回應。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# 在 Security Hub CSPM 中停用的建議控制項
<a name="controls-to-disable"></a>

我們建議您停用一些 AWS Security Hub CSPM 控制項，以減少調查結果的雜訊和使用成本。

## 使用全域資源的控制項
<a name="controls-to-disable-global-resources"></a>

有些 AWS 服務 支援全域資源，這表示您可以從任何 存取資源 AWS 區域。若要節省 的成本 AWS Config，您可以停用除一個區域以外的所有 全域資源的記錄。不過，在您執行此操作之後，Security Hub CSPM 仍會在啟用控制項的所有區域中執行安全檢查，並根據每個區域的每個帳戶的檢查數量向您收費。因此，為了減少調查結果噪音並節省 Security Hub CSPM 的成本，您還應該停用在所有區域中涉及全域資源的控制項，除了記錄全域資源的區域以外。

如果控制項涉及全域資源，但僅在一個區域中可用，在該區域中停用它可防止您取得基礎資源的任何問題清單。在此情況下，建議您保持啟用控制項。使用跨區域彙總時，可使用控制項的區域應為彙總區域或其中一個連結區域。下列控制項涉及全域資源，但僅適用於單一區域：
+ **所有 CloudFront 控制項** – 僅適用於美國東部 （維吉尼亞北部） 區域
+ **GlobalAccelerator.1** – 僅適用於美國西部 （奧勒岡） 區域
+ **Route53.2** – 僅適用於美國東部 （維吉尼亞北部） 區域
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 僅適用於美國東部 （維吉尼亞北部） 區域

**注意**  
如果您使用中央組態，Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。您選擇在可用的所有區域中啟用組態政策時啟用的其他控制項。若要將這些控制項的問題清單限制為僅一個區域，您可以更新 AWS Config 記錄器設定，並關閉主要區域以外的所有區域中的全域資源記錄。  
如果主區域不支援涉及全域資源的已啟用控制項，Security Hub CSPM 會嘗試在支援控制項的一個連結區域中啟用控制項。使用中央組態時，您無法涵蓋主要區域或任何連結區域中無法使用的控制項。  
如需中央組態的詳細資訊，請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

對於具有*定期*排程類型的控制項，需要在 Security Hub CSPM 中停用它們以防止計費。將 AWS Config 參數設定為 `includeGlobalResourceTypes` `false` 不會影響定期 Security Hub CSPM 控制項。

下列 Security Hub CSPM 控制項使用全域資源：
+ [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
+ [【Account.2】 AWS 帳戶 應該是 AWS Organizations 組織的一部分](account-controls.md#account-2)
+ [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1)
+ [【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3)
+ [【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉](cloudfront-controls.md#cloudfront-4)
+ [【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5)
+ [【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6)
+ [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7)
+ [【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求](cloudfront-controls.md#cloudfront-8)
+ [【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9)
+ [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)
+ [【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12)
+ [【CloudFront.13] CloudFront 分佈應使用原始存取控制](cloudfront-controls.md#cloudfront-13)
+ [【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策](cloudfront-controls.md#cloudfront-15)
+ [【CloudFront.16] CloudFront 分佈應使用 Lambda 函數 URL 原始伺服器的原始存取控制](cloudfront-controls.md#cloudfront-16)
+ [【GlobalAccelerator.1] 應標記 Global Accelerator 加速器](globalaccelerator-controls.md#globalaccelerator-1)
+ [【IAM.1】 IAM 政策不應允許完整的「\$1」管理權限](iam-controls.md#iam-1)
+ [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
+ [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
+ [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
+ [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
+ [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)
+ [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
+ [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
+ [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10)
+ [【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母](iam-controls.md#iam-11)
+ [【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母](iam-controls.md#iam-12)
+ [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13)
+ [【IAM.14】 確保 IAM 密碼政策至少需要一個數字](iam-controls.md#iam-14)
+ [【IAM.15】 確保 IAM 密碼政策要求密碼長度下限為 14 或更高](iam-controls.md#iam-15)
+ [【IAM.16】 確保 IAM 密碼政策防止密碼重複使用](iam-controls.md#iam-16)
+ [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17)
+ [【IAM.18】 確保已建立支援角色來使用 管理事件 AWS 支援](iam-controls.md#iam-18)
+ [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19)
+ [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21)
+ [【IAM.22】 應移除 45 天內未使用的 IAM 使用者登入資料](iam-controls.md#iam-22)
+ [【IAM.24】 IAM 角色應加上標籤](iam-controls.md#iam-24)
+ [【IAM.25】 IAM 使用者應加上標籤](iam-controls.md#iam-25)
+ [【IAM.26】 應移除在 IAM 中管理的過期 SSL/TLS 憑證](iam-controls.md#iam-26)
+ [【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策](iam-controls.md#iam-27)
+ [【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作](kms-controls.md#kms-1)
+ [【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策](kms-controls.md#kms-2)
+ [【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2)
+ [【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1)
+ [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6)
+ [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7)
+ [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8)

## CloudTrail 記錄控制
<a name="controls-to-disable-cloudtrail-logging"></a>

[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) 控制項會評估使用 AWS Key Management Service (AWS KMS) 來加密 AWS CloudTrail 追蹤日誌。如果您在集中式記錄帳戶中記錄這些線索，則只需要在帳戶中以及集中式記錄的發生 AWS 區域 位置啟用此控制項。

如果您使用[中央組態](central-configuration-intro.md)，則控制項的啟用狀態會跨主要區域和連結區域對齊。您無法在某些區域中停用控制項，並在其他區域中啟用控制項。在此情況下，您可以抑制 CloudTrail.2 控制項的調查結果，以減少調查結果雜訊。

## CloudWatch 警示控制
<a name="controls-to-disable-cloudwatch-alarms"></a>

如果您偏好使用 Amazon GuardDuty 進行異常偵測，而不是使用 Amazon CloudWatch 警示，您可以停用下列控制項，專注於 CloudWatch 警示：
+ [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)
+ [【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-2)
+ [【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-3)
+ [【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-4)
+ [【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-5)
+ [【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-6)
+ [【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰](cloudwatch-controls.md#cloudwatch-7)
+ [【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-8)
+ [【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-9)
+ [【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-10)
+ [【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-11)
+ [【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-12)
+ [【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-13)
+ [【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示](cloudwatch-controls.md#cloudwatch-14)