本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon 的 Security Hub 控制 EC2

這些 AWS Security Hub 控制項評估 Amazon 彈性運算雲 (AmazonEC2) 服務和資源。

這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊，請參閱各區域控制項的可用性。

[EC2.1] Amazon EBS 快照不應該公開還原

相關要求： NIST.800-53.r5 AC-2第 PCI DSS 3.2.1/1.2.1 版, 版本 PCI DSS PCI DSS 3.2.1/1.3.4, (二十), (二), (三), (4),, (9), (PCIDSS十一) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (十一) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (二十), (二十) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (三), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

類別：保護 > 安全網路組態

嚴重性：嚴重

資源類型：AWS::::Account

AWS Config 規則：ebs-snapshot-public-restorable-check

排程類型：定期

參數：無

此控制項會檢查 Amazon 彈性區塊存放區快照是否不公開。如果任何人都可以還原 Amazon EBS 快照，則控制會失敗。

EBS快照用於在特定時間點將EBS磁碟區上的資料備份到 Amazon S3。您可以使用快照來還原先前的EBS磁碟區狀態。公開共享快照很少會有人願意接受。通常公開共享快照的決定都是錯誤的，或者並未完全了解其中含義。這項檢查有助於確保所有這些共享都是完整的規劃並且有意的。

修補

若要將公開EBS快照設為私有，請參閱 Amazon EC2 使用者指南中的共用快照。在「動作」的「修改權限」中，選擇「私人

[EC2.2] VPC 默認安全組不應允許入站或出站流量

相關要求：1.2.1/ PCI DSS 2.1 版、1.3.2.1/3.4 版、PCI DSS PCI DSS CIS AWS 基金會基準測試版 1.2.0/4.3 版 CIS AWS 基金會基準測試版 1.4.0/5.3 CIS AWS 基金會基準指標 v3.0.0/5.4 NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則：vpc-default-security-group-closed

排程類型：已觸發變更

參數：無

此控制項會檢查的預設安全性群組是否VPC允許輸入或輸出流量。如果安全性群組允許輸入或輸出流量，則控制項會失敗。

預設安全群組的規則允許所有來自指派至相同安全群組網路界面 (及其相關聯執行個體) 的傳出和傳入流量。建議您不要使用預設的安全性群組。由於您無法刪除預設安全群組，建議您變更預設安全群組的規則設定，限制傳入和傳出流量。如果預設安全性群組意外設定為EC2執行個體等資源，這可防止意外流量。

修補

若要修正此問題，請先建立新的最低權限安全性群組。如需指示，請參閱 Amazon VPC 使用者指南中的建立安全群組。然後，將新的安全群組指派給您的EC2執行個體。如需指示，請參閱 Amazon EC2 使用者指南中的變更執行個體的安全群組。

將新的安全性群組指派給資源後，請從預設安全性群組中移除所有輸入和輸出規則。如需指示，請參閱 Amazon VPC 使用者指南中的設定安全群組規則。

[EC2.3] 附加的 Amazon EBS 卷應該靜態加密

相關要求： NIST.800-53.r5 CA-9(一)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1三、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2八、NIST八 NIST.800-53.r5 SC-7 (一)、(十)、

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::EC2::Volume

AWS Config 規則：encrypted-volumes

排程類型：已觸發變更

參數：無

此控制項會檢查處於連接狀態的EBS磁碟區是否已加密。若要通過此檢查，EBS磁碟區必須在使用中並加密。如果EBS磁碟區未連接，則不受此檢查的限制。

為了增加EBS磁碟區中敏感資料的安全性，您應該啟用靜EBS態加密。Amazon EBS 加密為您的EBS資源提供直接的加密解決方案，不需要您建立、維護和保護自己的金鑰管理基礎設施。它在創建加密卷和快照時使用密KMS鑰。

若要進一步了解 Amazon EBS 加密，請參閱 Amazon EC2使用者指南中的 Amazon EBS 加密。

修補

沒有直接的方法可以加密現有的未加密磁碟區或快照。您只能在建立磁碟區或快照時進行加密。

如果您預設啟用加密，Amazon 會使用 Amazon 加EBS密的預設金鑰EBS加密產生的新磁碟區或快照。即使您沒有啟用預設加密，您可以在建立獨立的磁碟區或快照時啟用加密。在這兩種情況下，您都可以覆寫 Amazon EBS 加密的預設金鑰，並選擇對稱的客戶受管金鑰。

如需詳細資訊，請參閱 Amazon EC2 使用者指南中的建立 Amazon EBS EBS 磁碟區和複製 Amazon 快照。

[EC2.4] 停止的EC2實例應在指定時間段後刪除

相關需求： NIST.800-53.r5 CA-9(1) NIST、五分之五公分 NIST

類別：識別 > 清查

嚴重性：中

資源類型：AWS::EC2::Instance

AWS Config 規則：ec2-stopped-instance

排程類型：定期

參數：

此控制項可檢查 Amazon EC2 執行個體停止的時間是否超過允許的天數。如果EC2執行個體停止的時間超過允許的時間上限，則控制項會失敗。除非您針對允許的最大期間提供自訂參數值，否則 Security Hub 會使用 30 天的預設值。

如果執行個EC2體已經很長一段時間沒有執行，就會產生安全風險，因為執行個體並未進行主動維護 (已分析、修補、更新)。如果稍後推出，缺乏適當的維護可能會導致您的意外問題 AWS 環境。若要在一段時間內安全地維護EC2執行個體處於非作用中狀態，請定期啟動執行個體以進行維護，然後在維護後停止 理想情況下，這應該是一個自動化的過程。

修補

若要終止非作用中EC2執行個體，請參閱 Amazon EC2 使用者指南中的終止執行個體。

[EC2.6] 應全部啟用VPC流程記錄 VPCs

相關要求：CIS AWS 基金會基準測試版 1.2.0/2.9 CIS AWS 基金會基準測試版 1.4.0/3.9 CIS AWS 基金會基準測試版本 3.0.0/3.7、PCI DSS 3.2.1/10.3.3、3.2.1/10. PCI DSS 3.4、3.2.1/10.3.5、(26)、PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

類別：識別 > 記錄日誌

嚴重性：中

資源類型：AWS::EC2::VPC

AWS Config 規則：vpc-flow-logs-enabled

排程類型：定期

參數：

此控制項會檢查是否找到並啟用 Amazon VPC 流程日誌VPCs。流量類型設定為Reject。如果您的帳戶VPCs中未啟用VPC流程記錄，則控制項會失敗。

使用VPC流程記錄功能，您可以擷取有關 IP 位址流量往返於您的VPC. 建立流程記錄後，您可以在 CloudWatch 記錄中檢視和擷取其資料。為了降低成本，您也可以將流程日誌傳送到 Amazon S3。

Security Hub 建議您啟用封包拒絕的流程記錄。VPCs流程記錄可讓您掌握網路流量，以VPC及偵測異常流量，或在安全性工作流程期間提供深入分析資訊。

根據預設，記錄包括 IP 位址流程中不同元件的值，包括來源、目的地和通訊協定。有關日誌欄位的詳細資訊和說明，請參閱 Amazon VPC 使用者指南中的VPC流程日誌。

修補

若要建立VPC流程日誌，請參閱 Amazon VPC 使用者指南中的建立流程日誌。打開 Amazon VPC 控制台後，選擇您的VPCs。在「篩選」中選擇「拒絕」或「全部」

[EC2.7] 應啟用EBS默認加密

相關要求：CIS AWS 基金會基準測試版 1.4.0/2.2.1, CIS AWS 基金會基準測試 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), .800-53.r NIST.800-53.r5 SC-2 5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：ec2-ebs-encryption-by-default

排程類型：定期

參數：無

此控制項會檢查 Amazon 彈性區塊存放區 (AmazonEBS) 預設是否啟用帳戶層級加密。如果未啟用帳戶層級加密，則控制項會失敗。

為您的帳戶啟用加密後，Amazon EBS 磁碟區和快照複本會在靜態時加密。這為您的資料增加了一層額外的保護。如需詳細資訊，請參閱 Amazon EC2 使用者指南中的預設加密。

請注意，下列執行個體類型不支援加密：R1、C1 和 M1。

修補

若要設定 Amazon EBS 磁碟區的預設加密，請參閱 Amazon EC2 使用者指南中的預設加密。

[EC2.8] EC2 執行個體應該使用執行個體中繼資料服務版本 2 () IMDSv2

相關要求：CIS AWS 基金會基準指標 v3.0.0/5.6, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

分類:保護 > 網絡安全

嚴重性：高

資源類型：AWS::EC2::Instance

AWS Config 規則：ec2-imdsv2-check

排程類型：已觸發變更

參數：無

此控制項會檢查EC2執行個體中繼資料版本是否設定了執行個體中繼資料服務版本 2 (IMDSv2)。如果設定為 [必要]，HttpTokens則控制項會通過IMDSv2。如果設定為，HttpTokens則控制項會失敗optional。

您可以使用執行個體中繼資料來設定或管理執行中的執行 提IMDS供存取臨時且經常輪換的認證。這些認證不需要手動或以程式設計方式將機密認證散佈至執行個體。會IMDS在本機附加至每個EC2執行個體。它運行在 169.254.169.254 的一個特殊的「本地鏈接」IP 地址上。只有在執行個體上執行的軟體才能存取此 IP 位址。

第 2 版為以下類型的漏洞IMDS添加了新的保護。這些弱點可用來嘗試存取IMDS.

Security Hub 建議您使用設定EC2執行個體IMDSv2。

修補

若要使用設定EC2執行個體IMDSv2，請參閱 Amazon EC2 使用者指南IMDSv2中的建議需求路徑。

[EC2.9] Amazon EC2 實例不應該有公共IPv4地址

相關要求： NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6,, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

分類:保護 > 安全網路設定 > 無法公開存取的資源

嚴重性：高

資源類型：AWS::EC2::Instance

AWS Config 規則：ec2-instance-no-public-ip

排程類型：已觸發變更

參數：無

此控制項會檢查EC2執行個體是否擁有公用 IP 位址。如果publicIp欄位存在於EC2執行個體組態項目中，則控制項會失敗。此控制項僅適用於IPv4位址。

公共IPv4地址是可以從互聯網訪問的 IP 地址。如果您使用公有 IP 位址啟動執行個體，則可以透過網際網路存取您的EC2執行個體。私人位IPv4址是無法從網際網路存取的 IP 位址。您可以使用私人IPv4位址在相同VPC或連線的私人網路中的EC2執行個體之間進行通訊。

IPv6地址是全局唯一的，因此可以從互聯網訪問。不過，依預設，所有子網路的定IPv6址屬性都設定為 false。如需詳細資訊IPv6，請參閱 Amazon VPC 使用者指南VPC中的 IP 定址。

如果您有合法的使用案例來維護具有公用 IP 位址的EC2執行個體，則可以從此控制項中隱藏發現項目。如需前端架構選項的詳細資訊，請參閱 AWS 建築博客或這是我的架構系列 AWS 視頻系列。

修補

使用非預設值VPC，預設情況下不會為您的執行個體指派公用 IP 位址。

當您將EC2執行個體啟動為預設值時VPC，系統會為其指派公用 IP 位址。當您將EC2執行個體啟動至非預設值時VPC，子網路組態會決定是否接收公用 IP 位址。子網路具有用來判斷子網路中的新EC2執行個體是否從公用位址集區接收公用 IP 位IPv4址的屬性。

您可以取消自動指派的公用 IP 位址與執行個體之間的關聯。EC2如需詳細資訊，請參閱 Amazon EC2 使用者指南中的公用IPv4地址和外部DNS主機名稱。

[EC2.10] Amazon EC2 應該配置為使用為 Amazon EC2 服務創建的VPC端點

相關要求： NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

分類:保護 > 安全網絡配置 > API 私人存取

嚴重性：中

資源類型：AWS::EC2::VPC

AWS Config 規則：service-vpc-endpoint-enabled

排程類型：定期

參數：

此控制項會檢查是否為每個端點建立 Amazon EC2 的服務端點VPC。如果VPC沒有為 Amazon EC2 服務建立VPC端點，則控制項會失敗。

此控制項會評估單一帳號中的資源。它無法描述帳號之外的資源。因為 AWS Config 而 Security Hub 不會進行跨帳戶檢查，您會看到跨帳戶共用VPCs的FAILED發現項目。Security Hub 建議您隱藏這些FAILED發現項目。

為了改善您的安全狀態VPC，您可以EC2將 Amazon 配置為使用界面VPC端點。界面端點採用的技術 AWS PrivateLink，一種可讓您私下存取 Amazon EC2 API 營運的技術。它限制了您VPC和 Amazon 之間的所有網絡流量EC2到 Amazon 網絡。由於僅在相同區域內支援端點，因此您無法在不同區域的服務VPC和服務之間建立端點。這樣可以防止非預期的 Amazon EC2 API 呼叫其他區域。

若要進一步了解如何為 Amazon 建立VPC端點EC2，請參閱 Amazon EC2使用者指南中的 Amazon EC2 和介面VPC端點。

修補

若要從 Amazon VPC 主控台建立EC2到 Amazon 的介面端點，請參閱中的建立VPC端點 AWS PrivateLink 指南。對於「服務名稱」，請選擇「喜好」。region.ec2。

您也可以建立端點政策並將其連接到VPC端點，以控制對 Amazon 的存取EC2API。如需建立VPC端點政策的指示，請參閱 Amazon EC2 使用者指南中的建立端點政策。

[EC2.12] EC2 EIPs 應刪除未使用的 Amazon

相關需PCIDSS求：八分之NIST八

類別：保護 > 安全網路組態

嚴重性：低

資源類型：AWS::EC2::EIP

AWS Config 規則：eip-attached

排程類型：已觸發變更

參數：無

此控制項會檢查配置給執行個體的 Elastic IP (EIP) 位址是否連接至EC2執行個VPC體或使用中的彈性網路介面 (ENIs)。

尋找失敗表示您可能未使用EC2EIPs。

這可協助您維護持卡人資料環境EIPs中的準確資產清單 (CDE)。

修補

要釋放未使用的 IP 地址EIP，請參閱 Amazon EC2 用戶指南中的釋放彈性 IP 地址。

[EC2.13] 安全性群組不應允許從 0.0.0/0 或:: /0 輸入連接埠 22

相關要求：CIS AWS 基金會基準測試 V1.2.0/4.1 版, (16), (21), (PCIDSS二), (十一), (二PCIDSS十一), (PCIDSS二十一), (21), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (4) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則：restricted-ssh

排程型態：變更已觸發與週期性

參數：無

此控制項可檢查 Amazon EC2 安全群組是否允許從 0.0.0/0 輸入或:/0 到連接埠 22 的輸入。如果安全性群組允許從 0.0.0.0/0 或:: /0 輸入至連接埠 22，則控制項會失敗。

安全性群組提供輸入和輸出網路流量的狀態篩選 AWS 的費用。不建議安全群組允許連接埠 22 不受限制的輸入存取。移除與遠端主控台服務 (例如) 的不受限制連線SSH，可降低伺服器面臨風險的風險。

修補

若要禁止輸入連接埠 22，請針對與. VPC 如需指示，請參閱 Amazon EC2 使用者指南中的更新安全群組規則。在 Amazon EC2 主控台中選取安全群組後，選擇動作 > 編輯輸入規則。移除允許存取通訊埠 22 的規則。

[EC2.14] 安全性群組不應允許從 0.0.0.0/0 或:/0 輸入至連接埠 3389

相關要求：CIS AWS 基金會基準測試版 1.2.0/4.2

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則:restricted-common-ports(建立的規則為restricted-rdp)

排程型態：變更已觸發與週期性

參數：無

此控制項可檢查 Amazon EC2 安全群組是否允許從 0.0.0/0 或:/0 到連接埠 3389 的輸入。如果安全性群組允許從 0.0.0/0 或:: /0 輸入至連接埠 3389，則控制項會失敗。

安全性群組提供輸入和輸出網路流量的狀態篩選 AWS 的費用。不建議安全群組允許連接埠 3389 不受限制的輸入存取。移除與遠端主控台服務 (例如) 的不受限制連線RDP，可降低伺服器面臨風險的風險。

修補

若要禁止輸入連接埠 3389，請針對與. VPC 如需指示，請參閱 Amazon VPC 使用者指南中的更新安全群組規則。在 Amazon VPC 主控台中選取安全群組後，選擇動作 > 編輯輸入規則。移除允許存取通訊埠 3389 的規則。

[EC2.15] Amazon EC2 子網路不應自動分配公有 IP 地址

相關要求： NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6,, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

分類:保護 > 網絡安全

嚴重性：中

資源類型：AWS::EC2::Subnet

AWS Config 規則：subnet-auto-assign-public-ip-disabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon 虛擬私有雲端 (AmazonVPC) 子網路IPs中的公用指派是否已MapPublicIpOnLaunch設定為FALSE。如果旗標設定為，則控制項會通過FALSE。

所有子網路都有一個屬性，可決定在子網路中建立的網路介面是否自動接收公用IPv4位址。啟動至啟用此屬性之子網路的執行個體，會將公用 IP 位址指派給其主要網路介面。

修補

若要將子網路設定為不指派公有 IP 位址，請參閱 Amazon VPC 使用者指南中的修改子網路的公IPv4有位址屬性。清除 [啟用自動指派公用IPv4位址] 核取方塊。

[EC2.16] 應移除未使用的網路存取控制清單

相關需求：NIST8 公分 (1)

分類:保護 > 網絡安全

嚴重性：低

資源類型：AWS::EC2::NetworkAcl

AWS Config 規則：vpc-network-acl-unused-check

排程類型：已觸發變更

參數：無

此控制項會檢查虛擬私有雲 (ACLs) 中是否有任何未使用的網路存取控制清單 (網路VPC)。如果網路ACL未與子網路相關聯，則控制項會失敗。控制項不會針對未使用的預設網路產生發現項目ACL。

控制項會檢查資源的項目組態，AWS::EC2::NetworkAcl並決定網路的關係ACL。

如果唯一VPC的關係是網路ACL，則控制項會失敗。

如果列出了其他關係，則會通過控制。

修補

如需刪除未使用網路的指示ACL，請參閱 Amazon 使VPC用者指南ACL中的刪除網路。您無法刪除預設網路ACL或與子網路ACL相關聯的網路。

[EC2.17] Amazon EC2 實例不應使用多個 ENIs

相關要求： NIST.800-53.r5 AC-4(21)

分類:保護 > 網絡安全

嚴重性：低

資源類型：AWS::EC2::Instance

AWS Config 規則：ec2-instance-multiple-eni-check

排程類型：已觸發變更

參數：無

此控制項會檢查EC2執行個體是否使用多個彈性網路介面 (ENIs) 或彈性網狀架構介面卡 (EFAs)。如果使用單一網路介面卡，則此控制項會通過。控制項包含可選參數清單，以識別允許的參數清單ENIs。如果屬於 Amazon EKS 叢集的EC2執行個體使用多個執行個體，則此控制項也會失敗ENI。如果您的EC2執行個體需要有多個ENIs作為 Amazon EKS 叢集的一部分，您可以隱藏這些控制發現項目。

「多個」ENIs 可能會導致雙重主目錄執行個體，表示具有多個子網路的執行個體 這可能會增加網路安全複雜性，並導致意外的網路路徑和存取。

修補

若要將網路界面與EC2執行個體分離，請參閱 Amazon EC2 使用者指南中的將網路界面與執行個體分離。

[EC2.18] 安全群組只應允許授權連接埠不受限制的傳入流量

相關要求： NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (二十一) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十六), NIST.800-53.r5 SC-7 (二十一), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

分類:保護 > 安全網絡配置 > 安全組配置

嚴重性：高

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則：vpc-sg-open-only-to-authorized-ports

排程類型：已觸發變更

參數：

此控制項可檢查 Amazon EC2 安全群組是否允許來自未授權連接埠的不受限制的傳入流量。控制狀態的確定方式如下：

安全性群組提供輸入和輸出網路流量的狀態篩選 AWS。 安全性群組規則應遵循最低權限存取的主體。不受限制的存取 (IP 位址加上 /0 尾碼) 可增加遭受惡意活動 (例如駭客入侵、 denial-of-service 攻擊和資料遺失) 的機會。除非特別允許連接埠，否則連接埠應拒絕不受限制的存取。

修補

若要修改安全群組，請參閱 Amazon VPC 使用者指南中的使用安全群組。

[EC2.19] 安全群組不應允許不受限制地存取具有高風險的連接埠

相關要求： NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (二十一), NIST.800-53.r5 CA-9 (一) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十六), NIST.800-53.r5 SC-7 (二十一), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

類別:保護 > 限制網絡訪問

嚴重性：嚴重

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則:restricted-common-ports(建立的規則為vpc-sg-restricted-common-ports)

排程型態：變更已觸發與週期性

參數："blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"（不可定制）

此控制項可檢查被視為高風險的指定連接埠是否可存取 Amazon EC2 安全群組的不受限制傳入流量。如果安全性群組中的任何規則允許從「0.0.0.0/0」或「:: /0」到這些連接埠的輸入流量，則此控制項會失敗。

安全性群組提供輸入和輸出網路流量的狀態篩選 AWS 的費用。不受限制的訪問（0.0.0.0/0）增加了惡意活動的機會，例如黑客 denial-of-service 攻擊，攻擊和數據丟失。任何安全性群組都不應允許不受限制的輸入存取下列連接埠：

修補

若要從安全群組刪除規則，請參閱 Amazon EC2 使用者指南中的從安全群組刪除規則。

[EC2.20] 兩VPN條隧道為一個 AWS 站點到站點VPN連接應該已啟動

相關要求： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST SI-13

分類:復原 > 復原能力 > 高可用性

嚴重性：中

資源類型：AWS::EC2::VPNConnection

AWS Config 規則：vpc-vpn-2-tunnels-up

排程類型：已觸發變更

參數：無

通VPN道是一種加密鏈接，其中數據可以從客戶網絡傳遞到或傳出 AWS 在一個 AWS 站點對站點連接VPN。每個VPN連接都包括兩個VPN通道，您可以同時使用它們以實現高可用性。確保兩VPN條通道都可以進行VPN連接對於確認之間的安全和高可用性連接非常重要 AWS VPC以及您的遠端網路。

這種控制檢查兩個VPN隧道提供 AWS 網站對站台VPN處於「啟用」狀態。如果一個或兩個通道都處於DOWN狀態，則控制會失敗。

修補

若要修改VPN通道選項，請參閱修改站台間VPN通道選項 AWS 站點到站點VPN用戶指南。

[EC2.21] 網路不ACLs應允許從 0.0.0/0 輸入連接埠 22 或連接埠 3389

相關要求：CIS AWS 基金會基準測試版 1.4.0/5.1 CIS AWS 基金會基準指標 v3.0.0/5.1， NIST.800-53.r5 AC-4（21）， NIST.800-53.r5 CA-9（1）， NIST.800-53.r5 SC-7（21） NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7，（5） NIST.800-53.r5 SC-7

分類:保護 > 安全網絡配置

嚴重性：中

資源類型：AWS::EC2::NetworkAcl

AWS Config 規則：nacl-no-unrestricted-ssh-rdp

排程類型：已觸發變更

參數：無

此控制項會檢查網路存取控制清單 (網路ACL) 是否允許不受限制RDP地存取SSH/入口流量的預設TCP連接埠。如果網路ACL輸入項目允許連接埠 22 或 3389 使用 '0.0.0/0' 或 ':: /0' 的來源CIDR區塊，則控制項會失敗。TCP控制項不會產生預設網路的發現項目ACL。

對遠端伺服器管理連接埠的存取，例如連接埠 22 (SSH) 和連接埠 3389 (RDP)，不應該可公開存取，因為這可能會允許非預期存取您的. VPC

修補

若要編輯網路ACL流量規則，請參閱 Amazon VPC 使用者指南ACLs中的使用網路。

[EC2.22] 應移除未使用的 Amazon EC2 安全群組

類別：識別 > 清查

嚴重性：中

資源類型:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

AWS Config 規則：ec2-security-group-attached-to-eni-periodic

排程類型：定期

參數：無

此控制項可檢查安全群組是否連接至 Amazon 彈性運算雲端 (AmazonEC2) 執行個體或 elastic network interface。如果安全群組未與 Amazon EC2 執行個體或 elastic network interface 相關聯，則控制項會失敗。

修補

若要建立、指派和刪除安全群組，請參閱 Amazon EC2 使用者指南中的安全群組。

[EC2.23] Amazon EC2 交通閘道不應自動接受VPC附件請求

相關要求： NIST.800-53.r5 AC-4(二十一)、 NIST.800-53.r5 CA-9 (一)、NIST

類別：保護 > 安全網路組態

嚴重性：高

資源類型：AWS::EC2::TransitGateway

AWS Config 規則：ec2-transit-gateway-auto-vpc-attach-disabled

排程類型：已觸發變更

參數：無

此控制項會檢查EC2傳輸閘道是否自動接受共用VPC附件。對於自動接受共用VPC附件要求的傳輸閘道，此控制項會失敗。

開啟會將傳輸閘道AutoAcceptSharedAttachments設定為自動接受任何跨帳戶VPC附件要求，而無需驗證要求或附件來源的帳戶。若要遵循授權和驗證的最佳作法，我們建議您關閉此功能，以確保只接受授權的VPC附件要求。

修補

若要修改傳輸閘道，請參閱 Amazon VPC 開發人員指南中的修改傳輸閘道。

[EC2.24] 不應使用 Amazon EC2 半虛擬實例類型

相關需求NIST：CM-2 NIST

類別:識別 > 漏洞、修補程式和版本管理

嚴重性：中

資源類型：AWS::EC2::Instance

AWS Config 規則：ec2-paravirtual-instance-check

排程類型：已觸發變更

參數：無

此控制項會檢查EC2執行個體的虛擬化類型是否為半虛擬化。如果EC2執行個體virtualizationType的設定為，則控制項會失敗paravirtual。

Linux Amazon 機器映像 (AMIs) 使用兩種虛擬化類型之一：半虛擬化 (PV) 或硬體虛擬機器 (HVM)。PV 和HVMAMIs之間的主要差異在於它們的啟動方式以及它們是否可以利用特殊的硬件擴展（CPU，網絡和存儲）來獲得更好的性能。

從歷史上看，PV 客座端在許多情況下都比HVM客座端具有更好的效能，但由於HVM虛擬化方面的增強功能以及 PV 驅動程式的可用性 HVMAMIs，因此不再如此。如需詳細資訊，請參閱 Amazon EC2 使用者指南中的 Linux AMI 虛擬化類型。

修補

若要將EC2執行個體更新為新的執行個體類型，請參閱 Amazon EC2 使用者指南中的變更執行個體類型。

[EC2.25] Amazon EC2 啟動模板不應將公共分配IPs給網絡界面

相關要求： NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6,, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

分類:保護 > 安全網路設定 > 無法公開存取的資源

嚴重性：高

資源類型：AWS::EC2::LaunchTemplate

AWS Config 規則：ec2-launch-template-public-ip-disabled

排程類型：已觸發變更

參數：無

此控制項會檢查 Amazon EC2 啟動範本是否設定為在啟動時將公用 IP 地址指派給網路界面。如果EC2啟動範本設定為將公用 IP 位址指派給網路介面，或者至少有一個具有公用 IP 位址的網路介面，則控制項會失敗。

公共 IP 地址是可以從互聯網訪問的地址。如果您使用公用 IP 位址設定網路介面，則可以從網際網路存取與這些網路介面相關聯的資源。EC2資源不應可公開存取，因為這可能允許非預期存取您的工作負載。

修補

若要更新EC2啟動範本，請參閱 Amazon EC2 Auto Scaling 使用者指南中的變更預設網路界面設定。

[EC2.28] 備份計劃應涵蓋EBS磁碟區

類別:復原 > 復原 > 啟用備份

相關要求： NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(二)、NIST SI-12 NIST SI-13

嚴重性：低

資源類型：AWS::EC2::Volume

AWS Config 規則：ebs-resources-protected-by-backup-plan

排程類型：定期

參數：

此控制項會評估in-use狀態中的 Amazon EBS 磁碟區是否涵蓋在備份計劃中。如果備份計劃未涵蓋EBS磁碟區，則控制項會失敗。如果您將backupVaultLockCheck參數設定為等於true，則只有在EBS磁碟區中備份時，控制項才會通過 AWS Backup 鎖定的儲存庫。

備份可協助您更快速地從安全性事件中復原。它們還可以增強系統的彈性。在備份計劃中包含 Amazon EBS 磁碟區，可協助您保護資料免於意外遺失或刪除。

修補

將 Amazon EBS 卷添加到 AWS Backup 備份計劃，請參閱將資源指派給備份計劃 AWS Backup 開發人員指南。

[EC2.33] 應標記EC2運輸閘道附件

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::TransitGatewayAttachment

AWS Config 規則:tagged-ec2-transitgatewayattachment(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項可檢查 Amazon 傳EC2輸閘道附件是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果傳輸閘道附件沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果傳輸閘道附件未標記任何金鑰，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2傳輸閘道附件，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.34] 應標記公EC2交網關路由表

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::TransitGatewayRouteTable

AWS Config 規則:tagged-ec2-transitgatewayroutetable(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項可檢查 Amazon 傳EC2輸閘道路由表是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果傳輸閘道路由表沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項只會檢查標籤金鑰是否存在，如果傳輸閘道路由表未標記任何金鑰，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要在EC2傳輸閘道路由表中新增標籤，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.35] EC2 網絡接口應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::NetworkInterface

AWS Config 規則:tagged-ec2-networkinterface(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 網路界面是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果網路介面沒有任何標籤金鑰，或者控制項沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果網路介面未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2網路界面，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.36] 應標記EC2客戶閘道

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::CustomerGateway

AWS Config 規則:tagged-ec2-customergateway(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 客戶閘道是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果客戶閘道沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果客戶閘道未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2客戶閘道，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.37] 應標記EC2彈性 IP 位址

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::EIP

AWS Config 規則:tagged-ec2-eip(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 彈性 IP 地址是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果彈性 IP 地址沒有任何標籤鍵，或者沒有在參數中指定的所有鍵，則控制項失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項只會檢查標籤金鑰是否存在，如果彈性 IP 位址未標記任何金鑰，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2彈性 IP 地址，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.38] 應標記EC2實例

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::Instance

AWS Config 規則:tagged-ec2-instance(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 執行個體是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果執行個體沒有任何標籤索引鍵，或是沒有在參數中指定的所有索引鍵，控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果執行個體未使用任何索引鍵加上標籤，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2執行個體，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.39] 應標記EC2互聯網閘道

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::InternetGateway

AWS Config 規則:tagged-ec2-internetgateway(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 網際網路閘道是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果網際網路閘道沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項僅檢查標籤金鑰是否存在，如果網際網路閘道未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2網際網路閘道，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.40] EC2 NAT 網關應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::NatGateway

AWS Config 規則:tagged-ec2-natgateway(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 網路地址轉譯 (NAT) 閘道是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果NAT閘道沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果NAT閘道未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2NAT閘道，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.41] EC2 網絡ACLs應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::NetworkAcl

AWS Config 規則:tagged-ec2-networkacl(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 網路存取控制清單 (網路ACL) 是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果網路ACL沒有任何標籤金鑰，或者沒有在參數中指定的所有索引鍵，控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果網路ACL未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2網路ACL，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.42] EC2 路由表應標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::RouteTable

AWS Config 規則:tagged-ec2-routetable(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 路由表是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果路由表沒有任何標籤鍵，或者它沒有在參數中指定的所有鍵，則控制項失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項僅檢查標籤鍵是否存在，如果路由表未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

要將標籤添加到EC2路由表，請參閱 Amazon EC2用戶指南中的標記您的 Amazon EC2 資源。

[EC2.43] 應標記EC2安全群組

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則:tagged-ec2-securitygroup(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 安全群組是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果安全性群組沒有任何標籤金鑰，或沒有在參數中指定的所有金鑰，控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果安全性群組未使用任何金鑰加上標籤，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2安全群組，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.44] EC2 子網應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::Subnet

AWS Config 規則:tagged-ec2-subnet(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon 子EC2網路是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果子網路沒有任何標籤金鑰，或者沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項只會檢查標籤金鑰是否存在，如果子網路未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至子EC2網路，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.45] EC2 磁碟區應標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::Volume

AWS Config 規則:tagged-ec2-subnet(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 磁碟區是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果磁碟區沒有任何標籤鍵，或者沒有在參數中指定的所有索引鍵，控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果磁碟區未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2磁碟區，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.46] Amazon VPCs 應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::VPC

AWS Config 規則:tagged-ec2-vpc(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon Virtual Private Cloud (AmazonVPC) 是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果 Amazon VPC 沒有任何標籤密鑰或沒有在參數中指定的所有密鑰，則控件將失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項僅檢查標籤金鑰是否存在，如果 Amazon VPC 未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

要添加標籤VPC，請參閱 Amazon EC2用戶指南中的標記您的 Amazon EC2 資源。

[EC2.47] 應標記 Amazon VPC 端點服務

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::VPCEndpointService

AWS Config 規則:tagged-ec2-vpcendpointservice(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon VPC 端點服務是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果端點服務沒有任何標籤金鑰，或者控制項沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果端點服務未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至 Amazon VPC 端點服務，請參閱「設定端點服務」一節中的管理標籤 AWS PrivateLink 指南。

[EC2.48] 應標記 Amazon VPC 流程日誌

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::FlowLog

AWS Config 規則:tagged-ec2-flowlog(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon VPC 流程日誌是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果流程記錄檔沒有任何標籤鍵，或者控制項沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項只會檢查標籤金鑰是否存在，如果流程記錄未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至 Amazon VPC 流程日誌，請參閱 Amazon VPC 使用者指南中的標記流程日誌。

[EC2.49] 應標VPC記 Amazon 對等連接

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::VPCPeeringConnection

AWS Config 規則:tagged-ec2-vpcpeeringconnection(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon VPC 對等連線是否具有標籤，其中包含參數requiredTagKeys中定義的特定金鑰。如果對等連接沒有任何標籤鍵，或者沒有在參數requiredTagKeys中指定的所有索引鍵，則控制項會失敗。如果requiredTagKeys未提供參數，則控制項只會檢查標籤金鑰是否存在，如果對等連線未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至 Amazon VPC 對等連線，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.50] EC2 VPN 網關應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::VPNGateway

AWS Config 規則:tagged-ec2-vpngateway(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon EC2 VPN 閘道是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果VPN閘道沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果VPN閘道未使用任何金鑰標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增至EC2VPN閘道，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.51] EC2 用戶VPN端端點應該已啟用用戶端連線記錄

相關要求： NIST.800-53.r5 AC-2(12)、 NIST.800-53.r5 AC-2 (4)、(26)、 NIST.800-53.r5 AC-4 (9)、(9)、 NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、.800-53.r5 四 NIST.800-53.r5 SC-7 (20)、NIST .800-53.r5 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST NIST

類別：識別 > 記錄日誌

嚴重性：低

資源類型：AWS::EC2::ClientVpnEndpoint

AWS Config 規則：ec2-client-vpn-connection-log-enabled

排程類型：已觸發變更

參數：無

這個控件檢查是否 AWS Client VPN 端點已啟用用戶端連線記錄。如果端點未啟用用戶端連線記錄，則控制項會失敗。

用戶VPN端端點允許遠端用戶端安全地連線到虛擬私有雲 (VPC) 中的資源 AWS。 連線記錄可讓您追蹤VPN端點上的使用者活動並提供可見性。啟用連線日誌記錄時，您可以在日誌群組中指定日誌串流的名稱。如果您未指定記錄資料流，Client VPN 服務會為您建立一個記錄資料流。

修補

如果要啟用連線記錄，請參閱啟用現有 Client VPN 端點的連線記錄 AWS Client VPN 管理員指南。

[EC2.52] EC2 運輸閘道應標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::EC2::TransitGateway

AWS Config 規則:tagged-ec2-transitgateway(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon 傳EC2輸閘道是否具有標籤，其中包含參數中定義的特定金鑰requiredTagKeys。如果傳輸閘道沒有任何標籤金鑰，或者沒有在參數中指定的所有金鑰，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果傳輸閘道未標記任何金鑰，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

修補

若要將標籤新增到傳EC2輸閘道，請參閱 Amazon EC2使用者指南中的標記您的 Amazon EC2 資源。

[EC2.53] EC2 安全性群組不應允許從 0.0.0/0 輸入到遠端伺服器管理連接埠

相關要求：CIS AWS 基金會基準指標 3.0.0/5.2 版

分類:保護 > 安全網絡配置 > 安全組配置

嚴重性：高

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則：vpc-sg-port-restriction-check

排程類型：定期

參數：

此控制項可檢查 Amazon EC2 安全群組是否允許從 0.0.0/0 輸入到遠端伺服器管理連接埠 (連接埠 22 和 3389)。如果安全性群組允許從 0.0.0/0 輸入至連接埠 22 或 3389，則控制項會失敗。

安全性群組提供輸入和輸出網路流量的狀態篩選 AWS 的費用。我們建議任何安全性群組允許使用 TDP (6)、(17) 或 ALL (-1) 通訊協SSH定，不受限制地存取遠端伺服器管理連接埠，UDP例如連接埠 22 和RDP連接埠 3389。允許公開存取這些連接埠會增加資源攻擊面和資源遭到入侵的風險。

修補

若要更新EC2安全群組規則以禁止輸入指定連接埠的流量，請參閱 Amazon EC2 使用者指南中的更新安全群組規則。在 Amazon EC2 主控台中選取安全群組後，選擇動作 > 編輯輸入規則。移除允許存取通訊埠 22 或通訊埠 3389 的規則。

[EC2.54] EC2 安全性群組不應允許從:: /0 輸入至遠端伺服器管理連接埠

相關要求：CIS AWS 基金會基準測試版 3.0.0/5.3

分類:保護 > 安全網絡配置 > 安全組配置

嚴重性：高

資源類型：AWS::EC2::SecurityGroup

AWS Config 規則：vpc-sg-port-restriction-check

排程類型：定期

參數：

此控制項可檢查 Amazon EC2 安全群組是否允許從:: /0 輸入到遠端伺服器管理連接埠 (連接埠 22 和 3389)。如果安全性群組允許從:: /0 輸入至連接埠 22 或 3389，則控制項會失敗。

安全性群組提供輸入和輸出網路流量的狀態篩選 AWS 的費用。我們建議任何安全性群組允許使用 TDP (6)、(17) 或 ALL (-1) 通訊協SSH定，不受限制地存取遠端伺服器管理連接埠，UDP例如連接埠 22 和RDP連接埠 3389。允許公開存取這些連接埠會增加資源攻擊面和資源遭到入侵的風險。

修補

若要更新EC2安全群組規則以禁止輸入指定連接埠的流量，請參閱 Amazon EC2 使用者指南中的更新安全群組規則。在 Amazon EC2 主控台中選取安全群組後，選擇動作 > 編輯輸入規則。移除允許存取通訊埠 22 或通訊埠 3389 的規則。