本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EC2 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Elastic Compute Cloud (Amazon EC2) 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【EC2.1】 Amazon EBS 快照不應可公開還原
相關要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7NIST.800-53.r5 SC-70 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::::Account
AWS Config 規則:ebs-snapshot-public-restorable-check
排程類型:定期
參數:無
此控制項會檢查 Amazon Elastic Block Store 快照是否為公有。如果任何人都可以還原 Amazon EBS 快照,則控制項會失敗。
EBS 快照用於在特定時間點將 EBS 磁碟區上的資料備份至 Amazon S3。您可以使用快照來還原 EBS 磁碟區的先前狀態。公開共享快照很少會有人願意接受。通常公開共享快照的決定都是錯誤的,或者並未完全了解其中含義。這項檢查有助於確保所有這些共享都是完整的規劃並且有意的。
修補
若要將公有 EBS 快照設為私有,請參閱《Amazon EC2 使用者指南》中的共用快照。針對動作、修改許可,選擇私有。
【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量
相關要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS AWS Foundations Benchmark v1.2.0/4.3、CIS AWS Foundations Benchmark v1.4.0/5.3、CIS AWS Foundations Benchmark v3.0.0/5.4、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7(11)、NIST.8NIST.800-53.r5 SC-7)、NIST.800-53.r5 SC-70NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態
嚴重性:高
資源類型: AWS::EC2::SecurityGroup
AWS Config 規則:vpc-default-security-group-closed
排程類型:已觸發變更
參數:無
此控制項會檢查 VPC 的預設安全群組是否允許傳入或傳出流量。如果安全群組允許傳入或傳出流量,則控制項會失敗。
預設安全群組的規則允許所有來自指派至相同安全群組網路界面 (及其相關聯執行個體) 的傳出和傳入流量。建議您不要使用預設安全群組。由於您無法刪除預設安全群組,建議您變更預設安全群組的規則設定,限制傳入和傳出流量。這可以避免在意外地為資源 (例如 EC2 執行個體) 設定預設安全群組時產生意外的流量。
修補
若要修復此問題,請先建立新的最低權限安全群組。如需說明,請參閱《Amazon VPC 使用者指南》中的建立安全群組。然後,將新的安全群組指派給您的 EC2 執行個體。如需說明,請參閱《Amazon EC2 使用者指南》中的變更執行個體的安全群組。
將新的安全群組指派給資源後,請從預設安全群組中移除所有傳入和傳出規則。如需說明,請參閱《Amazon VPC 使用者指南》中的設定安全群組規則。
【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::EC2::Volume
AWS Config 規則:encrypted-volumes
排程類型:變更觸發
參數:無
此控制項會檢查處於連接狀態的 EBS 磁碟區是否已進行加密。如要通過此檢查,EBS 磁碟區必須為使用中狀態且經過加密。如果沒有連接 EBS 磁碟區,則其便不在此檢查的範圍內。
為了為您 EBS 磁碟區上的敏感資料新增多一層的安全,建議您啟用靜態 EBS 加密。Amazon EBS 加密提供 EBS 資源的直接加密解決方案,使您無須建置、維護和保全您自己的金鑰管理基礎設施。建立加密的磁碟區和快照時,它會使用 KMS 金鑰。
若要進一步了解 Amazon EBS 加密,請參閱《Amazon Amazon EC2 EBS 加密。
修補
加密現有未加密磁碟區或快照的方式並不直接。您只能在建立磁碟區或快照時進行加密。
如果您預設啟用加密,Amazon EBS 會使用 Amazon EBS 加密的預設金鑰來加密產生的新磁碟區或快照。即使您沒有啟用預設加密,您可以在建立獨立的磁碟區或快照時啟用加密。在這兩種情況下,您可以覆寫 Amazon EBS 加密的預設金鑰,並選擇對稱客戶受管金鑰。
如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的建立 Amazon EBS 磁碟區Amazon EC2和複製 Amazon EBS 快照。
【EC2.4】 在指定的期間之後,應該移除已停止的 EC2 執行個體
相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 清查
嚴重性:中
資源類型: AWS::EC2::Instance
AWS Config 規則:ec2-stopped-instance
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
在產生失敗的調查結果之前,允許 EC2 執行個體處於停止狀態的天數。 |
Integer |
|
|
此控制項會檢查 Amazon EC2 執行個體是否已停止超過允許的天數。如果 EC2 執行個體停止的時間超過允許的最長期間,則控制項會失敗。除非您在允許的最長期間內提供自訂參數值,否則 Security Hub 會使用預設值 30 天。
當 EC2 執行個體長時間未執行時,它會建立安全風險,因為執行個體並未主動維護 (分析、修補、更新)。如果稍後啟動,缺乏適當的維護可能會導致您 AWS 環境中的意外問題。若要安全地將 EC2 執行個體長時間維持在非作用中狀態,請定期啟動它以進行維護,然後在維護後將其停止。理想情況下,這應該是自動化程序。
修補
若要終止非作用中的 EC2 執行個體,請參閱《Amazon EC2 使用者指南》中的終止執行個體。
【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄
相關要求:CIS AWS Foundations Benchmark v1.2.0/2.9、CIS AWS Foundations Benchmark v1.4.0/3.9、CIS AWS Foundations Benchmark v3.0.0/3.7、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-3、NISTAU-2.800-5(AU-6)、NIST.5) AU-6 CA-7 SI-7
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::EC2::VPC
AWS Config 規則:vpc-flow-logs-enabled
排程類型:定期
參數:
-
trafficType:REJECT(不可自訂)
此控制項會檢查是否已找到 Amazon VPC 流程日誌,並針對 VPCs啟用。流量類型設定為 Reject。如果未針對您帳戶中VPCs 啟用 VPC 流程日誌,則控制項會失敗。
注意
此控制項不會檢查是否透過 Amazon Security Lake 為 啟用 Amazon VPC 流程日誌 AWS 帳戶。
使用 VPC 流程日誌功能,您可以擷取往返 VPC 網路介面之 IP 地址流量的相關資訊。建立流程日誌之後,您可以在 CloudWatch Logs 中檢視和擷取其資料。若要降低成本,您也可以將流程日誌傳送至 Amazon S3。
Security Hub 建議您為 VPCs 的封包拒絕啟用流程記錄。流程日誌提供周遊 VPC 的網路流量的可見性,並可在安全工作流程期間偵測異常流量或提供洞見。
根據預設,記錄會包含 IP 地址流程不同元件的值,包括來源、目的地和通訊協定。如需日誌欄位的詳細資訊和說明,請參閱《Amazon VPC 使用者指南》中的 VPC 流程日誌。
修補
若要建立 VPC 流程日誌,請參閱《Amazon VPC 使用者指南》中的建立流程日誌。開啟 Amazon VPC 主控台後,選擇您的 VPCs。針對篩選條件,選擇拒絕或全部。
【EC2.7】 應啟用 EBS 預設加密
相關要求:CIS AWS Foundations Benchmark v1.4.0/2.2.1、CIS AWS Foundations Benchmark v3.0.0/2.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:ec2-ebs-encryption-by-default
排程類型:定期
參數:無
此控制項會檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否預設啟用帳戶層級加密。如果未針對 EBS 磁碟區啟用帳戶層級加密,則控制項會失敗。
為您的帳戶啟用加密時,Amazon EBS 磁碟區和快照複本會靜態加密。這會為您的資料新增額外的保護層。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的預設加密。
修補
若要設定 Amazon EBS 磁碟區的預設加密,請參閱《Amazon EC2 使用者指南》中的預設加密。
【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)
相關要求:CIS AWS Foundations Benchmark v3.0.0/5.6、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/2.2.6
類別:保護 > 網路安全
嚴重性:高
資源類型: AWS::EC2::Instance
AWS Config 規則:ec2-imdsv2-check
排程類型:已觸發變更
參數:無
此控制項會檢查 EC2 執行個體中繼資料版本是否使用執行個體中繼資料服務第 2 版 (IMDSv2) 設定。如果 HttpTokens 設定為 IMDSv2 所需的 ,則控制項會通過 。如果 HttpTokens設定為 ,則控制項會失敗optional。
您可以使用執行個體中繼資料來設定或管理執行中的執行個體。IMDS 可讓您存取暫時、經常輪換的登入資料。這些登入資料不需要硬式編碼,或以手動或程式設計方式將敏感登入資料分發給執行個體。IMDS 會在本機連接至每個 EC2 執行個體。它在 169.254.169.254 的特殊「本機連結」 IP 地址上執行。此 IP 地址只能由在執行個體上執行的軟體存取。
IMDS 第 2 版為下列類型的漏洞新增了新的保護。這些漏洞可用來嘗試存取 IMDS。
-
開啟網站應用程式防火牆
-
開啟反向代理
-
伺服器端請求偽造 (SSRF) 漏洞
-
開放第 3 層防火牆和網路地址轉譯 (NAT)
Security Hub 建議您使用 IMDSv2 設定 EC2 執行個體。 IMDSv2
修補
若要使用 IMDSv2EC2 設定 EC2 執行個體,請參閱《Amazon EC2 使用者指南》中的需要 IMDSv2 的建議路徑。 Amazon EC2
【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-75)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:高
資源類型: AWS::EC2::Instance
AWS Config 規則:ec2-instance-no-public-ip
排程類型:變更觸發
參數:無
此控制項會檢查 EC2 執行個體是否具有公有 IP 地址。如果publicIp欄位存在於 EC2 執行個體組態項目中,則控制項會失敗。此控制項僅適用於 IPv4 地址。
公有 IPv4 地址是從網際網路連線的 IP 地址。如果您使用公有 IP 地址啟動執行個體,則可以從網際網路存取 EC2 執行個體。私有 IPv4 地址是無法從網際網路連線的 IP 地址。您可以使用私有 IPv4 地址,在相同 VPC 或連線私有網路中的 EC2 執行個體之間進行通訊。
IPv6 地址在全球都是唯一的,因此可以從網際網路存取。不過,根據預設,所有子網路的 IPv6 定址屬性都設為 false。如需 IPv6 的詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 中的 IP 定址。
如果您有合法的使用案例來維護具有公有 IP 地址的 EC2 執行個體,則可以禁止此控制項的調查結果。如需前端架構選項的詳細資訊,請參閱AWS 架構部落格
修補
使用非預設 VPC,這樣您的執行個體預設不會指派公有 IP 地址。
當您在預設 VPC 中啟動 EC2 執行個體時,會為其指派公有 IP 地址。當您在非預設 VPC 中啟動 EC2 執行個體時,子網路組態會判斷它是否接收公有 IP 地址。子網路具有 屬性,可判斷子網路中的新 EC2 執行個體是否從公有 IPv4 地址集區接收公有 IP 地址。
您可以將自動指派的公有 IP 地址與 EC2 執行個體取消關聯。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的公有 IPv4 地址和外部 DNS 主機名稱。
【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點
相關需求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-75)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態 > API 私有存取
嚴重性:中
資源類型: AWS::EC2::VPC
AWS Config 規則:service-vpc-endpoint-enabled
排程類型:定期
參數:
-
serviceName:ec2(不可自訂)
此控制項會檢查是否已為每個 VPC 建立 Amazon EC2 的服務端點。如果 VPC 沒有為 Amazon EC2 服務建立的 VPC 端點,則控制項會失敗。
此控制項會評估單一帳戶中的資源。它無法描述帳戶外部的資源。由於 AWS Config 和 Security Hub 不會執行跨帳戶檢查,因此您會看到跨帳戶共用VPCs 問題FAILED清單。Security Hub 建議您隱藏這些FAILED調查結果。
若要改善 VPC 的安全狀態,您可以將 Amazon EC2 設定為使用界面 VPC 端點。介面端點採用 AWS PrivateLink技術,可讓您私下存取 Amazon EC2 API 操作。它將 VPC 和 Amazon EC2 之間的所有網路流量限制為 Amazon 網路。由於端點僅在相同 區域中受支援,因此您無法在 VPC 和不同區域中的服務之間建立端點。這可防止對其他 區域的意外 Amazon EC2 API 呼叫。
若要進一步了解如何為 Amazon EC2 建立 VPC 端點,請參閱《Amazon EC2 使用者指南》中的 Amazon EC2 和界面 VPC 端點。 Amazon EC2
修補
若要從 Amazon VPC 主控台建立 Amazon EC2 的介面端點,請參閱 AWS PrivateLink 指南中的建立 VPC 端點。針對服務名稱,選擇 com.amazonaws.region.ec2。
您也可以建立端點政策並將其連接至 VPC 端點,以控制對 Amazon EC2 API 的存取。如需建立 VPC 端點政策的說明,請參閱《Amazon EC2 使用者指南》中的建立端點政策。
【EC2.12】 應移除未使用的 Amazon EC2 EIPs
相關要求:PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)
類別:保護 > 安全網路組態
嚴重性:低
資源類型: AWS::EC2::EIP
AWS Config 規則:eip-attached
排程類型:已觸發變更
參數:無
此控制項會檢查配置給 VPC 的彈性 IP (EIP) 地址是否連接到 EC2 執行個體或使用中的彈性網路介面 ENIs)。
失敗的調查結果表示您可能有未使用的 EC2 EIPs。
這可協助您在持卡人資料環境 (CDE) 中維護 EIPs的準確資產清查。
修補
若要釋出未使用的 EIP,請參閱《Amazon EC2 使用者指南》中的釋出彈性 IP 地址。
【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22
相關要求:CIS AWS Foundations Benchmark v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/2.2.2、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7.20000-5NIST.800-53.r5 SC-7-1.25. NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態
嚴重性:高
資源類型: AWS::EC2::SecurityGroup
AWS Config 規則:restricted-ssh
排程類型:變更已觸發和定期
參數:無
此控制項會檢查 Amazon EC2 安全群組是否允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22。如果安全群組允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22,則控制項會失敗。
安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。不建議安全群組允許連接埠 22 不受限制的輸入存取。移除與遠端主控台服務 (如 SSH) 的不受限連線能力可降低伺服器暴露在風險中的機會。
修補
若要禁止傳入連接埠 22,請移除允許與 VPC 關聯之每個安全群組進行此類存取的規則。如需說明,請參閱《Amazon EC2 使用者指南》中的更新安全群組規則。在 Amazon EC2 主控台中選取安全群組後,選擇動作、編輯傳入規則。移除允許存取連接埠 22 的規則。
【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389
相關要求:CIS AWS Foundations Benchmark 1.2.0/4.2 版、PCI DSS 4.0.1/1.3.1 版
類別:保護 > 安全網路組態
嚴重性:高
資源類型: AWS::EC2::SecurityGroup
AWS Config rule: restricted-common-ports (建立的規則為 restricted-rdp)
排程類型:變更已觸發和定期
參數:無
此控制項會檢查 Amazon EC2 安全群組是否允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389。如果安全群組允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389,則控制項會失敗。
安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。不建議安全群組允許連接埠 3389 不受限制的輸入存取。移除與遠端主控台服務 (如 RDP) 的不受限連線能力可降低伺服器暴露在風險中的機會。
修補
若要禁止傳入連接埠 3389,請移除允許與 VPC 關聯之每個安全群組進行此類存取的規則。如需說明,請參閱《Amazon VPC 使用者指南》中的更新安全群組規則。在 Amazon VPC 主控台中選取安全群組後,選擇動作、編輯傳入規則。移除允許存取連接埠 3389 的規則。
【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、NIST.800-53.r5 SC-715)、SC-25) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 網路安全
嚴重性:中
資源類型: AWS::EC2::Subnet
AWS Config 規則:subnet-auto-assign-public-ip-disabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon Virtual Private Cloud (Amazon VPC) 子網路中公有 IPs 的指派是否已MapPublicIpOnLaunch設定為 FALSE。如果旗標設定為 ,則控制項會通過FALSE。
所有子網路都有 屬性,可判斷在子網路中建立的網路介面是否會自動接收公有 IPv4 地址。在已啟用此屬性的子網路中啟動的執行個體,其主要網路介面會獲指派公有 IP 地址。
修補
若要將子網路設定為不指派公有 IP 地址,請參閱《Amazon VPC 使用者指南》中的修改子網路的公有 IPv4 定址屬性。清除啟用自動指派公有 IPv4 地址的核取方塊。
【EC2.16】 應移除未使用的網路存取控制清單
相關要求:NIST.800-53.r5 CM-8(1)、PCI DSS v4.0.1/1.2.7
類別:保護 > 網路安全
嚴重性:低
資源類型: AWS::EC2::NetworkAcl
AWS Config 規則:vpc-network-acl-unused-check
排程類型:變更觸發
參數:無
此控制項會檢查虛擬私有雲端 (VPC) 中是否有任何未使用的網路存取控制清單 (網路 ACLs)。如果網路 ACL 未與子網路建立關聯,則控制項會失敗。控制項不會為未使用的預設網路 ACL 產生問題清單。
控制項會檢查資源的項目組態,AWS::EC2::NetworkAcl並判斷網路 ACL 的關係。
如果唯一的關係是網路 ACL 的 VPC,則控制項會失敗。
如果列出其他關係,則控制項會通過。
修補
如需刪除未使用網路 ACL 的指示,請參閱《Amazon VPC 使用者指南》中的刪除網路 ACL。您無法刪除與子網路相關聯的預設網路 ACL 或 ACL。
【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs
相關需求:NIST.800-53.r5 AC-4(21)
類別:保護 > 網路安全
嚴重性:低
資源類型: AWS::EC2::Instance
AWS Config 規則:ec2-instance-multiple-eni-check
排程類型:變更觸發
參數:無
此控制項會檢查 EC2 執行個體是否使用多個彈性網路介面 (ENIs) 或彈性布料轉接器 (EFAs)。如果使用單一網路轉接器,則此控制項會通過。控制項包含選用參數清單,以識別允許的 ENIs。如果屬於 Amazon EKS 叢集的 EC2 執行個體使用多個 ENI,則此控制項也會失敗。如果您的 EC2 執行個體需要有多個 ENIs 做為 Amazon EKS 叢集的一部分,您可以隱藏這些控制問題清單。
多個 ENIs 可能會導致雙主目錄執行個體,這表示具有多個子網路的執行個體。這可能會增加網路安全複雜性,並導致意外的網路路徑和存取。
修補
若要從 EC2 執行個體分離網路介面,請參閱《Amazon EC2 使用者指南》中的從執行個體分離網路介面。
【EC2.18】 安全群組應僅允許授權連接埠的無限制傳入流量
相關要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)
類別:保護 > 安全網路組態 > 安全群組組態
嚴重性:高
資源類型: AWS::EC2::SecurityGroup
AWS Config 規則:vpc-sg-open-only-to-authorized-ports
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
授權的 TCP 連接埠清單 |
IntegerList (最少 1 個項目,最多 32 個項目) |
|
|
|
|
授權 UDP 連接埠的清單 |
IntegerList (最少 1 個項目,最多 32 個項目) |
|
無預設值 |
此控制項會檢查 Amazon EC2 安全群組是否允許來自未經授權連接埠的無限制傳入流量。控制狀態的判斷方式如下:
-
如果您使用 的預設值
authorizedTcpPorts,則如果安全群組允許連接埠 80 和 443 以外的任何連接埠的無限制傳入流量,則控制項會失敗。 -
如果您為
authorizedTcpPorts或 提供自訂值authorizedUdpPorts,則如果安全群組允許來自任何未列出連接埠的無限制傳入流量,則控制項會失敗。 -
如果未使用參數,則具有無限制傳入流量規則的任何安全群組的控制項都會失敗。
安全群組提供傳入和傳出網路流量的狀態篩選,傳送至 AWS。安全群組規則應遵循最低權限存取的主體。無限制存取 (IP 地址尾碼為 /0) 會增加惡意活動的機會,例如駭客入侵、denial-of-service攻擊和資料遺失。除非特別允許連接埠,否則連接埠應拒絕不受限制的存取。
修補
若要修改安全群組,請參閱《Amazon VPC 使用者指南》中的使用安全群組。
【EC2.19】 安全群組不應允許無限制存取高風險的連接埠
相關要求:NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 受限的網路存取
嚴重性:嚴重
資源類型: AWS::EC2::SecurityGroup
AWS Config rule: restricted-common-ports (建立的規則為 vpc-sg-restricted-common-ports)
排程類型:變更已觸發和定期
參數: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (不可自訂)
此控制項會檢查 Amazon EC2 安全群組的無限制傳入流量是否可供被視為高風險的指定連接埠存取。如果安全群組中的任何規則允許從 '0.0.0.0/0' 或 '::/0' 傳入流量到這些連接埠,則此控制會失敗。
安全群組提供 AWS 資源的輸入和輸出網路流量狀態篩選條件。無限制存取 (0.0.0.0/0) 會增加惡意活動的機會,例如駭客入侵、denial-of-service攻擊和資料遺失。任何安全群組都不應允許無限制的傳入存取下列連接埠:
-
20、21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 (POP3)
-
135 (RPC)
-
143 (IMAP)
-
445 (CIFS)
-
1433、1434 (MSSQL)
-
3000 (Go、Node.js 和 Ruby Web 開發架構)
-
3306 (mySQL)
-
3389 (RDP)
-
4333 (ahsp)
-
5000 (Python Web 開發架構)
-
5432 (postgresql)
-
5500 (fcp-addr-srvr1)
-
5601 (OpenSearch 儀表板)
-
8080 (代理)
-
8088 (舊版 HTTP 連接埠)
-
8888 (替代 HTTP 連接埠)
-
9200 或 9300 (OpenSearch)
修補
若要從安全群組刪除規則,請參閱《Amazon EC2 使用者指南》中的從安全群組刪除規則。
【EC2.20】 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型:AWS::EC2::VPNConnection
AWS Config 規則:vpc-vpn-2-tunnels-up
排程類型:變更已觸發
參數:無
VPN 通道是一種加密連結,其中資料可以從客戶網路傳入或傳出 AWS a AWS Site-to-Site VPN 連線。每個 VPN 連接包含兩個 VPN 通道,您可以同時使用這些通道以獲得高可用性。確認 AWS VPC 和遠端網路之間安全且高可用性的連線,確保兩個 VPN 通道都可用於 VPN 連線。
此控制項會檢查由 AWS Site-to-Site VPN 通道都處於 UP 狀態。如果一個或兩個通道處於 DOWN 狀態,則控制項會失敗。
修補
若要修改 VPN 通道選項,請參閱Site-to-Site使用者指南》中的修改站台對站台 VPN 通道選項。 AWS Site-to-Site
【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389
相關要求:CIS AWS Foundations Benchmark v1.4.0/5.1、CIS AWS Foundations Benchmark v3.0.0/5.1、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)、PCI v4.30。
類別:保護 > 安全網路組態
嚴重性:中
資源類型:AWS::EC2::NetworkAcl
AWS Config 規則:nacl-no-unrestricted-ssh-rdp
排程類型:變更觸發
參數:無
此控制項會檢查網路存取控制清單 (網路 ACL) 是否允許無限制存取 SSH/RDP 輸入流量的預設 TCP 連接埠。如果 TCP 連接埠 22 或 3389 的網路 ACL 傳入項目允許來源 CIDR 區塊 '0.0.0.0/0' 或 '::/0',則控制項會失敗。控制項不會產生預設網路 ACL 的調查結果。
存取遠端伺服器管理連接埠,例如連接埠 22 (SSH) 和連接埠 3389 (RDP),不應公開存取,因為這可能會允許對 VPC 內資源的意外存取。
修補
若要編輯網路 ACL 流量規則,請參閱《Amazon VPC 使用者指南》中的使用網路 ACLs。
【EC2.22】 應移除未使用的 Amazon EC2 安全群組
重要
RETIRED FROM SPECIFIC STANDARDS – Security Hub 已於 2023 年 9 月 20 日從 AWS 基礎安全最佳實務標準和 NIST SP 800-53 第 5 版中移除此控制項。此控制項仍然是服務受管標準的一部分: AWS Control Tower。如果安全群組連接到 EC2 執行個體或彈性網路介面,此控制項會產生傳遞的調查結果。不過,對於某些使用案例,未連接的安全群組不會造成安全風險。您可以使用其他 EC2 控制項,例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19,來監控您的安全群組。
類別:識別 > 清查
嚴重性:中
資源類型:AWS::EC2::NetworkInterface、 AWS::EC2::SecurityGroup
AWS Config 規則:ec2-security-group-attached-to-eni-periodic
排程類型:定期
參數:無
此控制項會檢查安全群組是否連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或彈性網路介面。如果安全群組未與 Amazon EC2 執行個體或彈性網路介面建立關聯,則控制項會失敗。
修補
若要建立、指派和刪除安全群組,請參閱 Amazon EC2 使用者指南中的安全群組。
【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求
相關需求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
類別:保護 > 安全網路組態
嚴重性:高
資源類型:AWS::EC2::TransitGateway
AWS Config 規則:ec2-transit-gateway-auto-vpc-attach-disabled
排程類型:變更觸發
參數:無
此控制項會檢查 EC2 傳輸閘道是否自動接受共用 VPC 附件。對於自動接受共用 VPC 連接請求的傳輸閘道,此控制失敗。
開啟 會將傳輸閘道AutoAcceptSharedAttachments設定為自動接受任何跨帳戶 VPC 連接請求,而無需驗證請求或連接來源的帳戶。為了遵循授權和身分驗證的最佳實務,我們建議關閉此功能,以確保只接受授權的 VPC 連接請求。
修補
若要修改傳輸閘道,請參閱《Amazon VPC 開發人員指南》中的修改傳輸閘道。
【EC2.24】 不應使用 Amazon EC2 虛擬執行個體類型
相關要求:NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:中
資源類型:AWS::EC2::Instance
AWS Config 規則:ec2-paravirtual-instance-check
排程類型:變更觸發
參數:無
此控制項會檢查 EC2 執行個體的虛擬化類型是否為半虛擬。如果 EC2 執行個體virtualizationType的 設定為 ,則控制項會失敗paravirtual。
Linux Amazon Machine Image (AMIs) 使用兩種虛擬化類型之一:半虛擬 (PV) 或硬體虛擬機器 (HVM)。PV 和 HVM AMI 之間的主要區別在於開機的方式以及是否可以利用特殊的硬體延伸 (CPU、網路和儲存) 來獲得更好的效能。
歷史上,在許多情況下,PV 訪客比 HVM 訪客具有更好的效能,但由於 HVM 虛擬化中的增強以及 HVM AMI 之 PV 驅動程式的可用性,這已不再成立。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的 Linux AMI 虛擬化類型。
修補
若要將 EC2 執行個體更新為新的執行個體類型,請參閱《Amazon EC2 使用者指南》中的變更執行個體類型。
【EC2.25】 Amazon EC2 啟動範本不應將公有 IPs指派給網路介面
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-75)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:高
資源類型:AWS::EC2::LaunchTemplate
AWS Config 規則:ec2-launch-template-public-ip-disabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon EC2 啟動範本是否設定為在啟動時將公有 IP 地址指派給網路介面。如果 EC2 啟動範本設定為將公有 IP 地址指派給網路介面,或至少有一個具有公有 IP 地址的網路介面,則控制項會失敗。
公有 IP 地址是從網際網路連線的 IP 地址。如果您使用公有 IP 地址設定網路介面,則與這些網路介面相關聯的資源可以從網際網路存取。EC2 資源不應公開存取,因為這可能會允許意外存取您的工作負載。
修補
若要更新 EC2 啟動範本,請參閱《Amazon EC2 Auto Scaling 使用者指南》中的變更預設網路介面設定。
【EC2.28】 備份計畫應涵蓋 EBS 磁碟區
類別:復原 > 復原能力 > 備份已啟用
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
嚴重性:低
資源類型: AWS::EC2::Volume
AWS Config 規則: ebs-resources-protected-by-backup-plan
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
如果 參數設定為 |
Boolean |
|
無預設值 |
此控制項會評估備份計劃是否涵蓋處於 in-use 狀態的 Amazon EBS 磁碟區。如果備份計劃未涵蓋 EBS 磁碟區,則控制項會失敗。如果您將 backupVaultLockCheck 參數設定為等於 true,則只有在 AWS Backup 鎖定的保存庫中備份 EBS 磁碟區時,控制項才會通過。
備份可協助您更快地從安全事件中復原。它們也會增強您系統的彈性。在備份計劃中包含 Amazon EBS 磁碟區可協助您保護資料免於意外遺失或刪除。
修補
若要將 Amazon EBS 磁碟區新增至 AWS Backup 備份計劃,請參閱《 AWS Backup 開發人員指南》中的將資源指派給備份計劃。
【EC2.33】 EC2 傳輸閘道附件應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::TransitGatewayAttachment
AWS Config rule:tagged-ec2-transitgatewayattachment(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 傳輸閘道連接是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果傳輸閘道連接沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果傳輸閘道連接未標記任何金鑰,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 傳輸閘道連接,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.34】 EC2 傳輸閘道路由表應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::TransitGatewayRouteTable
AWS Config rule:tagged-ec2-transitgatewayroutetable(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 傳輸閘道路由表是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果傳輸閘道路由表沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果傳輸閘道路由表未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 傳輸閘道路由表,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.35】 EC2 網路介面應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::NetworkInterface
AWS Config rule:tagged-ec2-networkinterface(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 網路介面是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果網路介面沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果網路介面未標記任何金鑰,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 網路介面,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.36】 EC2 客戶閘道應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::CustomerGateway
AWS Config rule:tagged-ec2-customergateway(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 客戶閘道是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果客戶閘道沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果客戶閘道未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 客戶閘道,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.37】 EC2 彈性 IP 地址應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::EIP
AWS Config rule:tagged-ec2-eip(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 彈性 IP 地址是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果彈性 IP 地址沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果彈性 IP 地址未標記任何金鑰,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 彈性 IP 地址,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.38】 EC2 執行個體應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::Instance
AWS Config rule:tagged-ec2-instance(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 執行個體是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果執行個體沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果執行個體未標記任何金鑰,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 執行個體,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。
【EC2.39】 EC2 網際網路閘道應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::InternetGateway
AWS Config rule:tagged-ec2-internetgateway(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 網際網路閘道是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果網際網路閘道沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果網際網路閘道未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 網際網路閘道,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.40】 EC2 NAT 閘道應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::NatGateway
AWS Config rule:tagged-ec2-natgateway(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 網路地址轉譯 (NAT) 閘道是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果 NAT 閘道沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果 NAT 閘道未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 NAT 閘道,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.41】 EC2 網路 ACLs 應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::NetworkAcl
AWS Config rule:tagged-ec2-networkacl(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 網路存取控制清單 (網路 ACL) 是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果網路 ACL 沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果網路 ACL 未加上任何金鑰的標籤,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 網路 ACL,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.42】 EC2 路由表應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::RouteTable
AWS Config rule:tagged-ec2-routetable(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 路由表是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果路由表沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果路由表未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 路由表,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.43】 EC2 安全群組應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::SecurityGroup
AWS Config rule:tagged-ec2-securitygroup(自訂 Security Hub 規則)
排程類型:變更觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 安全群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果安全群組沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果安全群組未標記任何索引鍵,則 控制會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 安全群組,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.44】 EC2 子網路應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::Subnet
AWS Config rule:tagged-ec2-subnet(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 子網路是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果子網路沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果子網路未標記任何金鑰,則 控制會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 子網路,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。
【EC2.45】 EC2 磁碟區應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::Volume
AWS Config rule:tagged-ec2-subnet(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 磁碟區是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果磁碟區沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果磁碟區未標記任何索引鍵,則 控制會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 磁碟區,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。
【EC2.46】 Amazon VPCs應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::VPC
AWS Config rule:tagged-ec2-vpc(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon Virtual Private Cloud (Amazon VPC) 是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果 Amazon VPC 沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果 Amazon VPC 未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 VPC,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。
【EC2.47】 Amazon VPC 端點服務應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::VPCEndpointService
AWS Config rule:tagged-ec2-vpcendpointservice(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon VPC 端點服務是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果端點服務沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果端點服務未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Amazon VPC 端點服務,請參閱 指南中的設定端點服務一節中的管理標籤。 https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html AWS PrivateLink
【EC2.48】 Amazon VPC 流程日誌應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::FlowLog
AWS Config rule:tagged-ec2-flowlog(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon VPC 流量日誌是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果流量日誌沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果流程日誌未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Amazon VPC 流程日誌,請參閱《Amazon VPC 使用者指南》中的標記流程日誌。
【EC2.49】 Amazon VPC 對等互連連線應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::VPCPeeringConnection
AWS Config rule:tagged-ec2-vpcpeeringconnection(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon VPC 對等互連連線是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果對等連線沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果對等連線未加上任何金鑰的標籤,則會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Amazon VPC 對等互連,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。
【EC2.50】 EC2 VPN 閘道應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::VPNGateway
AWS Config rule:tagged-ec2-vpngateway(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EC2 VPN 閘道是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果 VPN 閘道沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果 VPN 閘道未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 VPN 閘道,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。
【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄
相關要求:NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-50.r5AU-6)、NIST. AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-4 SI-710.2.1
類別:識別 > 記錄日誌
嚴重性:低
資源類型: AWS::EC2::ClientVpnEndpoint
AWS Config 規則: ec2-client-vpn-connection-log-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 AWS Client VPN 端點是否已啟用用戶端連線記錄。如果端點未啟用用戶端連線記錄,則控制項會失敗。
Client VPN 端點可讓遠端用戶端安全地連線至 中的 Virtual Private Cloud (VPC) 資源 AWS。連線日誌可讓您追蹤 VPN 端點上的使用者活動,並提供可見性。啟用連線日誌記錄時,您可以在日誌群組中指定日誌串流的名稱。如果您未指定日誌串流,則 Client VPN 服務會為您建立一個。
修補
若要啟用連線記錄,請參閱 AWS Client VPN 管理員指南中的為現有 Client VPN 端點啟用連線記錄。
【EC2.52】 EC2 傳輸閘道應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::EC2::TransitGateway
AWS Config rule:tagged-ec2-transitgateway(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 Amazon EC2 傳輸閘道是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果傳輸閘道沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果傳輸閘道未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EC2 傳輸閘道,請參閱《Amazon EC2 使用者指南》中的標記您的 Amazon EC2 資源。 Amazon EC2
【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠
相關要求:CIS AWS Foundations Benchmark v3.0.0/5.2、PCI DSS v4.0.1/1.3.1
類別:保護 > 安全網路組態 > 安全群組組態
嚴重性:高
資源類型: AWS::EC2::SecurityGroup
AWS Config 規則:vpc-sg-port-restriction-check
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
IP 版本 |
字串 |
無法自訂 |
|
|
|
應拒絕傳入流量的連接埠清單 |
IntegerList |
無法自訂 |
|
此控制項會檢查 Amazon EC2 安全群組是否允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠 (連接埠 22 和 3389)。如果安全群組允許從 0.0.0.0/0 傳入連接埠 22 或 3389,則控制項會失敗。
安全群組提供輸入和輸出網路流量至 AWS 資源的狀態篩選。我們建議安全群組不允許使用 TDP (6)、UDP (17) 或 ALL (-1) 通訊協定,對遠端伺服器管理連接埠進行不受限制的傳入存取,例如 SSH 對連接埠 22 和 RDP 對連接埠 3389。允許公開存取這些連接埠會增加資源攻擊面,以及資源遭到入侵的風險。
修補
若要更新 EC2 安全群組規則以禁止傳入流量到指定的連接埠,請參閱《Amazon EC2 使用者指南》中的更新安全群組規則。在 Amazon EC2 主控台中選取安全群組後,選擇動作、編輯傳入規則。移除允許存取連接埠 22 或連接埠 3389 的規則。
【EC2.54】 EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠
相關要求:CIS AWS Foundations Benchmark v3.0.0/5.3、PCI DSS v4.0.1/1.3.1
類別:保護 > 安全網路組態 > 安全群組組態
嚴重性:高
資源類型: AWS::EC2::SecurityGroup
AWS Config 規則:vpc-sg-port-restriction-check
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
IP 版本 |
字串 |
無法自訂 |
|
|
|
應拒絕傳入流量的連接埠清單 |
IntegerList |
無法自訂 |
|
此控制項會檢查 Amazon EC2 安全群組是否允許從 ::/0 傳入遠端伺服器管理連接埠 (連接埠 22 和 3389)。如果安全群組允許從 ::/0 傳入連接埠 22 或 3389,則控制項會失敗。
安全群組提供輸入和輸出網路流量至 AWS 資源的狀態篩選。我們建議安全群組不允許使用 TDP (6)、UDP (17) 或 ALL (-1) 通訊協定,對遠端伺服器管理連接埠進行不受限制的傳入存取,例如 SSH 對連接埠 22 和 RDP 對連接埠 3389。允許公開存取這些連接埠會增加資源攻擊面,以及資源遭到入侵的風險。
修補
若要更新 EC2 安全群組規則以禁止傳入流量到指定的連接埠,請參閱《Amazon EC2 使用者指南》中的更新安全群組規則。在 Amazon EC2 主控台中選取安全群組後,選擇動作、編輯傳入規則。移除允許存取連接埠 22 或連接埠 3389 的規則。
【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-70 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-70
類別:保護 > 安全存取控制 > 存取控制
嚴重性:中
資源類型:AWS::EC2::VPC、 AWS::EC2::VPCEndpoint
AWS Config 規則:vpc-endpoint-enabled
排程類型:定期
參數:
| 參數 | 必要 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|---|
serviceNames
|
必要 | 控制項評估的服務名稱 | 字串 | 無法自訂 | ecr.api |
vpcIds
|
選用 | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供,則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點,則控制項會失敗。 |
StringList | 使用一或多個 VPC IDs自訂 | 無預設值 |
此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有 Amazon ECR API 的介面 VPC 端點。如果 VPC 沒有 ECR API 的介面 VPC 端點,則控制項會失敗。此控制項會評估單一帳戶中的資源。
AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務,同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務,而無需使用公有 IPs,也不需要流量周遊網際網路。
修補
若要設定 VPC 端點,請參閱 AWS PrivateLink 指南中的AWS 服務 使用介面 VPC 端點存取 。
【EC2.56】 VPCs應使用 Docker Registry 的介面端點進行設定
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-75)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全存取控制 > 存取控制
嚴重性:中
資源類型:AWS::EC2::VPC、 AWS::EC2::VPCEndpoint
AWS Config 規則:vpc-endpoint-enabled
排程類型:定期
參數:
| 參數 | 必要 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|---|
serviceNames
|
必要 | 控制項評估的服務名稱 | 字串 | 無法自訂 | ecr.dkr |
vpcIds
|
選用 | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供,則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點,則控制項會失敗。 |
StringList | 使用一或多個 VPC IDs自訂 | 無預設值 |
此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有 Docker Registry 的介面 VPC 端點。如果 VPC 沒有 Docker Registry 的介面 VPC 端點,則控制項會失敗。此控制項會評估單一帳戶中的資源。
AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務,同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務,而無需使用公有 IPs,也不需要流量周遊網際網路。
修補
若要設定 VPC 端點,請參閱 AWS PrivateLink 指南中的AWS 服務 使用介面 VPC 端點存取 。
【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7)、SCNIST.800-53.r5 SC-75)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全存取控制 > 存取控制
嚴重性:中
資源類型:AWS::EC2::VPC、 AWS::EC2::VPCEndpoint
AWS Config 規則:vpc-endpoint-enabled
排程類型:定期
參數:
| 參數 | 必要 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|---|
serviceNames
|
必要 | 控制項評估的服務名稱 | 字串 | 無法自訂 | ssm |
vpcIds
|
選用 | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供,則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點,則控制項會失敗。 |
StringList | 使用一或多個 VPC IDs自訂 | 無預設值 |
此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有介面 VPC 端點 AWS Systems Manager。如果 VPC 沒有 Systems Manager 的介面 VPC 端點,則控制項會失敗。此控制項會評估單一帳戶中的資源。
AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務,同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務,而無需使用公有 IPs,也不需要流量周遊網際網路。
修補
若要設定 VPC 端點,請參閱 AWS PrivateLink 指南中的AWS 服務 使用介面 VPC 端點存取 。
【EC2.58】 VPCs應設定 Systems Manager Incident Manager Contacts 的介面端點
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全存取控制 > 存取控制
嚴重性:中
資源類型:AWS::EC2::VPC、 AWS::EC2::VPCEndpoint
AWS Config 規則:vpc-endpoint-enabled
排程類型:定期
參數:
| 參數 | 必要 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|---|
serviceNames
|
必要 | 控制項評估的服務名稱 | 字串 | 無法自訂 | ssm-contacts |
vpcIds
|
選用 | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供,則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點,則控制項會失敗。 |
StringList | 使用一或多個 VPC IDs自訂 | 無預設值 |
此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有適用於 AWS Systems Manager Incident Manager Contacts 的介面 VPC 端點。如果 VPC 沒有 Systems Manager Incident Manager Contacts 的介面 VPC 端點,則控制項會失敗。此控制項會評估單一帳戶中的資源。
AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務,同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務,而無需使用公有 IPs,也不需要流量周遊網際網路。
修補
若要設定 VPC 端點,請參閱 AWS PrivateLink 指南中的AWS 服務 使用介面 VPC 端點存取 。
【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定
相關要求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7)、SC-15) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
類別:保護 > 安全存取控制 > 存取控制
嚴重性:中
資源類型:AWS::EC2::VPC、 AWS::EC2::VPCEndpoint
AWS Config 規則:vpc-endpoint-enabled
排程類型:定期
參數:
| 參數 | 必要 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|---|
serviceNames
|
必要 | 控制項評估的服務名稱 | 字串 | 無法自訂 | ssm-incidents |
vpcIds
|
選用 | VPC 端點的 Amazon VPC IDs 逗號分隔清單。如果提供,則如果 serviceName 參數中指定的服務沒有其中一個 VPC 端點,則控制項會失敗。 |
StringList | 使用一或多個 VPC IDs自訂 | 無預設值 |
此控制項會檢查您管理的虛擬私有雲端 (VPC) 是否有適用於 AWS Systems Manager Incident Manager 的介面 VPC 端點。如果 VPC 沒有 Systems Manager Incident Manager 的介面 VPC 端點,則控制項會失敗。此控制項會評估單一帳戶中的資源。
AWS PrivateLink 可讓客戶 AWS 以高可用性和可擴展的方式存取 上託管的服務,同時保留 AWS 網路內的所有網路流量。服務使用者可以從其 VPC 或其內部部署私下存取由 PrivateLink 提供支援的服務,而無需使用公有 IPs,也不需要流量周遊網際網路。
修補
若要設定 VPC 端點,請參閱 AWS PrivateLink 指南中的AWS 服務 使用介面 VPC 端點存取 。
【EC2.170】 EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2)
相關要求:PCI DSS v4.0.1/2.2.6
類別:保護 > 網路安全
嚴重性:低
資源類型: AWS::EC2::LaunchTemplate
AWS Config 規則:ec2-launch-template-imdsv2-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon EC2 啟動範本是否已使用執行個體中繼資料服務第 2 版 (IMDSv2) 設定。如果 HttpTokens設定為 ,則控制項會失敗optional。
在支援的軟體版本上執行資源可確保最佳效能、安全性和最新功能的存取。定期更新可防範漏洞,這有助於確保穩定且高效率的使用者體驗。
修補
若要在 EC2 啟動範本上要求 IMDSv2,請參閱《Amazon EC2 使用者指南》中的設定執行個體中繼資料服務選項。
【EC2.171】 EC2 VPN 連線應該已啟用記錄
相關要求:CIS AWS Foundations Benchmark v3.0.0/5.3、PCI DSS v4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::EC2::VPNConnection
AWS Config 規則:ec2-vpn-connection-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查兩個通道是否 AWS Site-to-Site 皆啟用 Amazon CloudWatch Logs。如果兩個通道 Site-to-Site 都未啟用 CloudWatch Logs,則控制項會失敗。
AWS Site-to-Site日誌可讓您更深入地了解Site-to-Site VPN 部署。透過此功能,您可以存取站台對站台 VPN 連接日誌,其中提供 IP 安全性 (IPsec) 通道建立、網際網路金鑰交換 (IKE) 交涉,以及失效對等偵測 (DPD) 通訊協定訊息的詳細資料。Site-to-Site日誌可以發佈到 CloudWatch Logs。此功能為客戶提供一個一致的方式,來存取和分析其所有站台對站台 VPN 連接的詳細日誌。
修補
若要在 EC2 VPN 連線上啟用通道記錄,請參閱AWS 《 Site-to-Site VPN 使用者指南》中的 Site-to-Site VPN 日誌。 AWS Site-to-Site
【EC2.172】 EC2 VPC 封鎖公開存取設定應封鎖網際網路閘道流量
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:中
資源類型: AWS::EC2::VPCBlockPublicAccessOptions
AWS Config rule:ec2-vpc-bpa-internet-gateway-blocked(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
VPC BPA 選項模式的字串值。 |
列舉 |
|
無預設值 |
此控制項會檢查 Amazon EC2 VPC 封鎖公開存取 (BPA) 設定是否設定為封鎖 中所有 Amazon VPCs 的網際網路閘道流量 AWS 帳戶。如果未將 VPC BPA 設定設定為封鎖網際網路閘道流量,則控制項會失敗。若要傳遞控制項,VPC BPA InternetGatewayBlockMode 必須設定為 block-bidirectional或 block-ingress。如果vpcBpaInternetGatewayBlockMode提供 參數,則只有在 的 VPC BPA 值InternetGatewayBlockMode符合 參數時,控制項才會傳遞。
在 中為您的帳戶設定 VPC BPA 設定, AWS 區域 可讓您封鎖在該區域中擁有VPCs 和子網路中的資源,使其無法透過網際網路閘道和僅輸出網際網路閘道到達或從網際網路到達。如果您需要特定 VPCs和子網路才能從網際網路連線或存取,您可以透過設定 VPC BPA 排除來排除它們。如需建立和刪除排除項目的說明,請參閱《Amazon VPC 使用者指南》中的建立和刪除排除項目。
修補
若要在帳戶層級啟用雙向 BPA,請參閱《Amazon VPC 使用者指南》中的為您的帳戶啟用 BPA 雙向模式。若要啟用僅限輸入 BPA,請參閱將 VPC BPA 模式變更為僅限輸入。若要在組織層級啟用 VPC BPA,請參閱在組織層級啟用 VPC BPA。
