本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub CSPM 中的 NIST SP 800-53 修訂版 5
NIST 特別出版物 800-53 修訂版 5 (NIST SP 800-53 修訂版 5) 是由國家標準技術研究所 (NIST) 開發的網路安全和合規架構,該機構是美國商務部的一部分。此合規架構提供安全和隱私權要求的目錄,以保護資訊系統和重要資源的機密性、完整性和可用性。美國聯邦政府機構和承包商必須遵守這些要求,以保護其系統和組織。私有組織也可以自願使用這些要求做為降低網路安全風險的指導方針架構。如需架構及其需求的詳細資訊,請參閱 [NIST 電腦安全資源中心的 NIST SP 800-53 修訂版 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)。 **
AWS Security Hub CSPM 提供安全控制,支援 NIST SP 800-53 修訂版 5 要求的子集。這些控制項會針對特定 AWS 服務 和 資源執行自動安全檢查。若要啟用和管理這些控制項,您可以在 Security Hub CSPM 中啟用 NIST SP 800-53 修訂版 5 架構作為標準。請注意,控制項不支援需要手動檢查的 NIST SP 800-53 修訂版 5 要求。
與其他架構不同,NIST SP 800-53 修訂版 5 架構並未規定應如何評估其需求。反之,架構會提供指導方針。在 Security Hub CSPM 中,NIST SP 800-53 修訂版 5 標準和控制項代表服務對這些準則的理解。
**Topics**
+ [設定 標準的資源記錄](#standards-reference-nist-800-53-recording)
+ [判斷哪些控制項適用於標準](#standards-reference-nist-800-53-controls)
## 設定適用於標準之控制項的資源記錄
若要最佳化涵蓋範圍和調查結果的準確性,請務必在 AWS Security Hub CSPM 中啟用 NIST SP 800-53 修訂版 5 標準 AWS Config 之前,先在 中啟用和設定資源記錄。當您設定資源記錄時,也請務必針對套用標準之控制項檢查的所有 AWS 資源類型啟用它。這主要適用於具有*變更觸發*排程類型的控制項。不過,某些具有*定期*排程類型的控制項也需要資源記錄。如果未啟用或正確設定資源記錄,Security Hub CSPM 可能無法評估適當的資源,並針對適用於標準的控制項產生準確的調查結果。
如需 Security Hub CSPM 如何在 中使用資源錄製的資訊 AWS Config,請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需有關在 中設定資源錄製的資訊 AWS Config,請參閱《 *AWS Config 開發人員指南*》中的[使用組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
下表指定適用於 Security Hub CSPM 中 NIST SP 800-53 修訂版 5 標準的控制項要記錄的資源類型。
| AWS 服務 | 資源類型 |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 Auto Scaling | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry (Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service (Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System (Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service (Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka (Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service (Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service (Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager (SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## 判斷哪些控制項適用於標準
以下清單指定支援 NIST SP 800-53 修訂版 5 要求的控制項,並適用於 AWS Security Hub CSPM 中的 NIST SP 800-53 修訂版 5 標準。如需控制項支援的特定需求的詳細資訊,請選擇控制項。然後,請參閱控制項詳細資訊中的**相關需求**欄位。此欄位指定控制項支援的每個 NIST 需求。如果 欄位未指定特定的 NIST 需求,則控制項不支援該需求。
+ [【Account.1】 應針對 提供安全性聯絡資訊 AWS 帳戶](account-controls.md#account-1)
+ [【Account.2】 AWS 帳戶 應該是 AWS Organizations 組織的一部分](account-controls.md#account-2)
+ [【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約](acm-controls.md#acm-1)
+ [【APIGateway.1] 應啟用 API Gateway REST 和 WebSocket API 執行記錄](apigateway-controls.md#apigateway-1)
+ [【APIGateway.2] API Gateway REST API 階段應設定為使用 SSL 憑證進行後端身分驗證](apigateway-controls.md#apigateway-2)
+ [【APIGateway.3] API Gateway REST API 階段應該已啟用 AWS X-Ray 追蹤](apigateway-controls.md#apigateway-3)
+ [【APIGateway.4] API Gateway 應與 WAF Web ACL 建立關聯](apigateway-controls.md#apigateway-4)
+ [【APIGateway.5] API Gateway REST API 快取資料應靜態加密](apigateway-controls.md#apigateway-5)
+ [【APIGateway.8] API Gateway 路由應指定授權類型](apigateway-controls.md#apigateway-8)
+ [【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄](apigateway-controls.md#apigateway-9)
+ [【AppSync.5] AWS AppSync GraphQL APIs不應使用 API 金鑰進行身分驗證](appsync-controls.md#appsync-5)
+ [【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1)
+ [【AutoScaling.2] Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域](autoscaling-controls.md#autoscaling-2)
+ [【AutoScaling.3] Auto Scaling 群組啟動組態應將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)](autoscaling-controls.md#autoscaling-3)
+ [【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址](autoscaling-controls.md#autoscaling-5)
+ [【AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型](autoscaling-controls.md#autoscaling-6)
+ [【AutoScaling.9] Amazon EC2 Auto Scaling 群組應使用 Amazon EC2 啟動範本](autoscaling-controls.md#autoscaling-9)
+ [【Backup.1】 AWS Backup 復原點應靜態加密](backup-controls.md#backup-1)
+ [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1)
+ [【CloudFront.3] CloudFront 分佈應要求傳輸中加密](cloudfront-controls.md#cloudfront-3)
+ [【CloudFront.4] CloudFront 分佈應設定原始伺服器容錯移轉](cloudfront-controls.md#cloudfront-4)
+ [【CloudFront.5] CloudFront 分佈應該已啟用記錄](cloudfront-controls.md#cloudfront-5)
+ [【CloudFront.6] CloudFront 分佈應該啟用 WAF](cloudfront-controls.md#cloudfront-6)
+ [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7)
+ [【CloudFront.8] CloudFront 分佈應使用 SNI 來提供 HTTPS 請求](cloudfront-controls.md#cloudfront-8)
+ [【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器](cloudfront-controls.md#cloudfront-9)
+ [【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已取代的 SSL 通訊協定](cloudfront-controls.md#cloudfront-10)
+ [【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器](cloudfront-controls.md#cloudfront-12)
+ [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1)
+ [[CloudTrail.2] CloudTrail 應啟用靜態加密](cloudtrail-controls.md#cloudtrail-2)
+ [【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證](cloudtrail-controls.md#cloudtrail-4)
+ [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5)
+ [【CloudTrail.10] CloudTrail Lake 事件資料存放區應使用客戶受管加密 AWS KMS keys](cloudtrail-controls.md#cloudtrail-10)
+ [【CloudWatch.15] CloudWatch 警示應已設定指定的動作](cloudwatch-controls.md#cloudwatch-15)
+ [【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間](cloudwatch-controls.md#cloudwatch-16)
+ [【CloudWatch.17] 應啟用 CloudWatch 警示動作](cloudwatch-controls.md#cloudwatch-17)
+ [【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1)
+ [【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料](codebuild-controls.md#codebuild-2)
+ [【CodeBuild.3] CodeBuild S3 日誌應加密](codebuild-controls.md#codebuild-3)
+ [【CodeBuild.4] CodeBuild AWS Config專案環境應具有記錄 URL](codebuild-controls.md#codebuild-4)
+ [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1)
+ [【DataFirehose.1] Firehose 交付串流應靜態加密](datafirehose-controls.md#datafirehose-1)
+ [【DMS.1】 Database Migration Service 複寫執行個體不應為公有](dms-controls.md#dms-1)
+ [【DMS.6】 DMS 複寫執行個體應啟用自動次要版本升級](dms-controls.md#dms-6)
+ [【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-7)
+ [【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄](dms-controls.md#dms-8)
+ [【DMS.9】 DMS 端點應使用 SSL](dms-controls.md#dms-9)
+ [【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權](dms-controls.md#dms-10)
+ [【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制](dms-controls.md#dms-11)
+ [【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS](dms-controls.md#dms-12)
+ [【DocumentDB.1] Amazon DocumentDB 叢集應靜態加密](documentdb-controls.md#documentdb-1)
+ [【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期](documentdb-controls.md#documentdb-2)
+ [【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開](documentdb-controls.md#documentdb-3)
+ [【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs](documentdb-controls.md#documentdb-4)
+ [【DocumentDB.5] Amazon DocumentDB 叢集應該啟用刪除保護](documentdb-controls.md#documentdb-5)
+ [【DynamoDB.1] DynamoDB 資料表應隨著需求自動擴展容量](dynamodb-controls.md#dynamodb-1)
+ [【DynamoDB.2] DynamoDB 資料表應該啟用point-in-time復原](dynamodb-controls.md#dynamodb-2)
+ [【DynamoDB.3] DynamoDB Accelerator (DAX) 叢集應靜態加密](dynamodb-controls.md#dynamodb-3)
+ [【DynamoDB.4] DynamoDB 資料表應存在於備份計畫中](dynamodb-controls.md#dynamodb-4)
+ [【DynamoDB.6] DynamoDB 資料表應該已啟用刪除保護](dynamodb-controls.md#dynamodb-6)
+ [【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密](dynamodb-controls.md#dynamodb-7)
+ [【EC2.1】 Amazon EBS 快照不應設定為可公開還原](ec2-controls.md#ec2-1)
+ [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2)
+ [【EC2.3】 連接的 Amazon EBS 磁碟區應靜態加密](ec2-controls.md#ec2-3)
+ [【EC2.4】 已停止的 EC2 執行個體應在指定的期間之後移除](ec2-controls.md#ec2-4)
+ [【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄](ec2-controls.md#ec2-6)
+ [【EC2.7】 應啟用 EBS 預設加密](ec2-controls.md#ec2-7)
+ [【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)](ec2-controls.md#ec2-8)
+ [【EC2.9】 Amazon EC2 執行個體不應具有公有 IPv4 地址](ec2-controls.md#ec2-9)
+ [【EC2.10】 Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點](ec2-controls.md#ec2-10)
+ [【EC2.12】 應移除未使用的 Amazon EC2 EIPs](ec2-controls.md#ec2-12)
+ [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22](ec2-controls.md#ec2-13)
+ [【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15)
+ [【EC2.16】 應該移除未使用的網路存取控制清單](ec2-controls.md#ec2-16)
+ [【EC2.17】 Amazon EC2 執行個體不應使用多個 ENIs](ec2-controls.md#ec2-17)
+ [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18)
+ [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19)
+ [【EC2.20】 用於 an AWS Site-to-Site VPN 連線的兩個 VPN 通道都應啟動](ec2-controls.md#ec2-20)
+ [【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389](ec2-controls.md#ec2-21)
+ [【EC2.23】 Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求](ec2-controls.md#ec2-23)
+ [【EC2.24】 不應使用 Amazon EC2 全虛擬化執行個體類型](ec2-controls.md#ec2-24)
+ [【EC2.25】 Amazon EC2 啟動範本不應將公IPs 指派給網路介面](ec2-controls.md#ec2-25)
+ [【EC2.28】 備份計畫應涵蓋 EBS 磁碟區](ec2-controls.md#ec2-28)
+ [【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄](ec2-controls.md#ec2-51)
+ [【EC2.55】 VPCs應使用 ECR API 的介面端點進行設定](ec2-controls.md#ec2-55)
+ [【EC2.56】 VPCs應使用 Docker 登錄檔的介面端點進行設定](ec2-controls.md#ec2-56)
+ [【EC2.57】 VPCs應使用 Systems Manager 的介面端點進行設定](ec2-controls.md#ec2-57)
+ [【EC2.58】 VPCs應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定](ec2-controls.md#ec2-58)
+ [【EC2.60】 VPCs應使用 Systems Manager Incident Manager 的介面端點進行設定](ec2-controls.md#ec2-60)
+ [【ECR.1】 ECR 私有儲存庫應設定映像掃描](ecr-controls.md#ecr-1)
+ [【ECR.2】 ECR 私有儲存庫應設定標籤不可變性](ecr-controls.md#ecr-2)
+ [【ECR.3】 ECR 儲存庫應至少設定一個生命週期政策](ecr-controls.md#ecr-3)
+ [【ECR.5】 ECR 儲存庫應使用客戶受管加密 AWS KMS keys](ecr-controls.md#ecr-5)
+ [【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義](ecs-controls.md#ecs-1)
+ [【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址](ecs-controls.md#ecs-2)
+ [【ECS.3】 ECS 任務定義不應共用主機的程序命名空間](ecs-controls.md#ecs-3)
+ [【ECS.4】 ECS 容器應以非特殊權限執行](ecs-controls.md#ecs-4)
+ [【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取](ecs-controls.md#ecs-5)
+ [【ECS.8】 不應將秘密做為容器環境變數傳遞](ecs-controls.md#ecs-8)
+ [【ECS.9】 ECS 任務定義應具有記錄組態](ecs-controls.md#ecs-9)
+ [【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10)
+ [【ECS.12】 ECS 叢集應使用 Container Insights](ecs-controls.md#ecs-12)
+ [【ECS.17】 ECS 任務定義不應使用主機網路模式](ecs-controls.md#ecs-17)
+ [【EFS.1】 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS](efs-controls.md#efs-1)
+ [【EFS.2】 Amazon EFS 磁碟區應位於備份計劃中](efs-controls.md#efs-2)
+ [【EFS.3】 EFS 存取點應強制執行根目錄](efs-controls.md#efs-3)
+ [【EFS.4】 EFS 存取點應強制執行使用者身分](efs-controls.md#efs-4)
+ [【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯](efs-controls.md#efs-6)
+ [【EKS.1】 不應公開存取 EKS 叢集端點](eks-controls.md#eks-1)
+ [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2)
+ [【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密](eks-controls.md#eks-3)
+ [【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8)
+ [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1)
+ [【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級](elasticache-controls.md#elasticache-2)
+ [【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉](elasticache-controls.md#elasticache-3)
+ [【ElastiCache.4] ElastiCache 複寫群組應靜態加密](elasticache-controls.md#elasticache-4)
+ [【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密](elasticache-controls.md#elasticache-5)
+ [【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH](elasticache-controls.md#elasticache-6)
+ [【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組](elasticache-controls.md#elasticache-7)
+ [【ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強型運作狀態報告](elasticbeanstalk-controls.md#elasticbeanstalk-1)
+ [【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2)
+ [【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS](elb-controls.md#elb-1)
+ [【ELB.2】 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager](elb-controls.md#elb-2)
+ [【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定](elb-controls.md#elb-3)
+ [【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4)
+ [【ELB.5】 應啟用應用程式和 Classic Load Balancer 記錄](elb-controls.md#elb-5)
+ [【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護](elb-controls.md#elb-6)
+ [【ELB.7】 Classic Load Balancer 應啟用連線耗盡](elb-controls.md#elb-7)
+ [【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應使用預先定義的安全政策,該政策具有強烈驅動](elb-controls.md#elb-8)
+ [【ELB.9】 Classic Load Balancer 應啟用跨區域負載平衡](elb-controls.md#elb-9)
+ [【ELB.10】 Classic Load Balancer 應跨越多個可用區域](elb-controls.md#elb-10)
+ [【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-12)
+ [【ELB.13】 應用程式、網路和閘道負載平衡器應跨越多個可用區域](elb-controls.md#elb-13)
+ [【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式](elb-controls.md#elb-14)
+ [【ELB.16】 Application Load Balancer 應與 AWS WAF Web ACL 建立關聯](elb-controls.md#elb-16)
+ [【ELB.17】 具有接聽程式的應用程式和 Network Load Balancer 應使用建議的安全政策](elb-controls.md#elb-17)
+ [【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1)
+ [【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定](emr-controls.md#emr-2)
+ [【EMR.3】 Amazon EMR 安全組態應靜態加密](emr-controls.md#emr-3)
+ [【EMR.4】 Amazon EMR 安全組態應在傳輸中加密](emr-controls.md#emr-4)
+ [【ES.1】 Elasticsearch 網域應該啟用靜態加密](es-controls.md#es-1)
+ [【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2)
+ [【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料](es-controls.md#es-3)
+ [【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤](es-controls.md#es-4)
+ [【ES.5】 Elasticsearch 網域應該啟用稽核記錄](es-controls.md#es-5)
+ [【ES.6】 Elasticsearch 網域應至少具有三個資料節點](es-controls.md#es-6)
+ [【ES.7】 Elasticsearch 網域應該至少設定三個專用主節點](es-controls.md#es-7)
+ [【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8)
+ [【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策](eventbridge-controls.md#eventbridge-3)
+ [【EventBridge.4] EventBridge 全域端點應啟用事件複寫](eventbridge-controls.md#eventbridge-4)
+ [【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區](fsx-controls.md#fsx-1)
+ [【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份](fsx-controls.md#fsx-2)
+ [【Glue.4】 AWS Glue Spark 任務應在支援的 版本上執行 AWS Glue](glue-controls.md#glue-4)
+ [【GuardDuty.1] 應啟用 GuardDuty](guardduty-controls.md#guardduty-1)
+ [【IAM.1】 IAM 政策不應允許完整的「\*」管理權限](iam-controls.md#iam-1)
+ [【IAM.2】 IAM 使用者不應連接 IAM 政策](iam-controls.md#iam-2)
+ [【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次](iam-controls.md#iam-3)
+ [【IAM.4】 IAM 根使用者存取金鑰不應存在](iam-controls.md#iam-4)
+ [[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA](iam-controls.md#iam-5)
+ [[IAM.6] 應為根使用者啟用硬體 MFA](iam-controls.md#iam-6)
+ [【IAM.7】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-7)
+ [【IAM.8】 應移除未使用的 IAM 使用者登入資料](iam-controls.md#iam-8)
+ [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9)
+ [【IAM.19】 應為所有 IAM 使用者啟用 MFA](iam-controls.md#iam-19)
+ [【IAM.21】 您建立的 IAM 客戶受管政策不應允許 服務的萬用字元動作](iam-controls.md#iam-21)
+ [【Kinesis.1】 Kinesis 串流應靜態加密](kinesis-controls.md#kinesis-1)
+ [【KMS.1】 IAM 客戶受管政策不應允許對所有 KMS 金鑰執行解密動作](kms-controls.md#kms-1)
+ [【KMS.2】 IAM 主體不應具有允許對所有 KMS 金鑰執行解密動作的 IAM 內嵌政策](kms-controls.md#kms-2)
+ [【KMS.3】 AWS KMS keys 不應意外刪除](kms-controls.md#kms-3)
+ [【KMS.4】 應啟用 AWS KMS 金鑰輪換](kms-controls.md#kms-4)
+ [【Lambda.1】 Lambda 函數政策應禁止公開存取](lambda-controls.md#lambda-1)
+ [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2)
+ [【Lambda.3】 Lambda 函數應該位於 VPC 中](lambda-controls.md#lambda-3)
+ [【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作](lambda-controls.md#lambda-5)
+ [【Lambda.7】 Lambda 函數應該啟用 AWS X-Ray 主動追蹤](lambda-controls.md#lambda-7)
+ [【Macie.1】 應啟用 Amazon Macie](macie-controls.md#macie-1)
+ [【Macie.2】 應啟用 Macie 自動化敏感資料探索](macie-controls.md#macie-2)
+ [【MSK.1】 MSK 叢集應在代理程式節點之間傳輸時加密](msk-controls.md#msk-1)
+ [【MSK.2】 MSK 叢集應已設定增強型監控](msk-controls.md#msk-2)
+ [【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch](mq-controls.md#mq-2)
+ [【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3)
+ [【MQ.5】 ActiveMQ 代理程式應使用作用中/待命部署模式](mq-controls.md#mq-5)
+ [【MQ.6】 RabbitMQ 代理程式應使用叢集部署模式](mq-controls.md#mq-6)
+ [【Neptune.1】 Neptune 資料庫叢集應靜態加密](neptune-controls.md#neptune-1)
+ [【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](neptune-controls.md#neptune-2)
+ [【Neptune.3】 Neptune 資料庫叢集快照不應公開](neptune-controls.md#neptune-3)
+ [【Neptune.4】 Neptune 資料庫叢集應啟用刪除保護](neptune-controls.md#neptune-4)
+ [【Neptune.5】 Neptune 資料庫叢集應該啟用自動備份](neptune-controls.md#neptune-5)
+ [【Neptune.6】 Neptune 資料庫叢集快照應靜態加密](neptune-controls.md#neptune-6)
+ [【Neptune.7】 Neptune 資料庫叢集應該啟用 IAM 資料庫身分驗證](neptune-controls.md#neptune-7)
+ [【Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照](neptune-controls.md#neptune-8)
+ [【Neptune.9】 Neptune 資料庫叢集應部署在多個可用區域](neptune-controls.md#neptune-9)
+ [【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域](networkfirewall-controls.md#networkfirewall-1)
+ [【NetworkFirewall.2] 應啟用網路防火牆記錄](networkfirewall-controls.md#networkfirewall-2)
+ [【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組](networkfirewall-controls.md#networkfirewall-3)
+ [【NetworkFirewall.4] Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包](networkfirewall-controls.md#networkfirewall-4)
+ [【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包](networkfirewall-controls.md#networkfirewall-5)
+ [【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空](networkfirewall-controls.md#networkfirewall-6)
+ [【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護](networkfirewall-controls.md#networkfirewall-9)
+ [【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護](networkfirewall-controls.md#networkfirewall-10)
+ [【Opensearch.1】 OpenSearch 網域應該啟用靜態加密](opensearch-controls.md#opensearch-1)
+ [【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2)
+ [【Opensearch.3】 OpenSearch 網域應該加密節點之間傳送的資料](opensearch-controls.md#opensearch-3)
+ [【Opensearch.4】 應啟用 CloudWatch Logs 的 OpenSearch 網域錯誤記錄](opensearch-controls.md#opensearch-4)
+ [【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄](opensearch-controls.md#opensearch-5)
+ [【Opensearch.6】 OpenSearch 網域應至少具有三個資料節點](opensearch-controls.md#opensearch-6)
+ [【Opensearch.7】 OpenSearch 網域應啟用精細存取控制](opensearch-controls.md#opensearch-7)
+ [【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線](opensearch-controls.md#opensearch-8)
+ [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10)
+ [【Opensearch.11】 OpenSearch 網域應至少具有三個專用主節點](opensearch-controls.md#opensearch-11)
+ [【PCA.1】應停用 AWS 私有 CA 根憑證授權單位](pca-controls.md#pca-1)
+ [【RDS.1】 RDS 快照應為私有](rds-controls.md#rds-1)
+ [【RDS.2】 RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定](rds-controls.md#rds-2)
+ [[RDS.3] RDS 資料庫執行個體應啟用靜態加密](rds-controls.md#rds-3)
+ [【RDS.4】 RDS 叢集快照和資料庫快照應靜態加密](rds-controls.md#rds-4)
+ [【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域](rds-controls.md#rds-5)
+ [【RDS.6】 應為 RDS 資料庫執行個體設定增強型監控](rds-controls.md#rds-6)
+ [【RDS.7】 RDS 叢集應該啟用刪除保護](rds-controls.md#rds-7)
+ [【RDS.8】 RDS 資料庫執行個體應啟用刪除保護](rds-controls.md#rds-8)
+ [【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9)
+ [【RDS.10】 應為 RDS 執行個體設定 IAM 身分驗證](rds-controls.md#rds-10)
+ [【RDS.11】 RDS 執行個體應該啟用自動備份](rds-controls.md#rds-11)
+ [【RDS.12】 應為 RDS 叢集設定 IAM 身分驗證](rds-controls.md#rds-12)
+ [【RDS.13】 應啟用 RDS 自動次要版本升級](rds-controls.md#rds-13)
+ [【RDS.14】 Amazon Aurora 叢集應該已啟用恢復](rds-controls.md#rds-14)
+ [【RDS.15】 應為多個可用區域設定 RDS 資料庫叢集](rds-controls.md#rds-15)
+ [【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-16)
+ [【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照](rds-controls.md#rds-17)
+ [【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-19)
+ [【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20)
+ [【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-21)
+ [【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱](rds-controls.md#rds-22)
+ [【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠](rds-controls.md#rds-23)
+ [【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱](rds-controls.md#rds-24)
+ [【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱](rds-controls.md#rds-25)
+ [【RDS.26】 RDS 資料庫執行個體應受備份計劃保護](rds-controls.md#rds-26)
+ [【RDS.27】 RDS 資料庫叢集應靜態加密](rds-controls.md#rds-27)
+ [【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34)
+ [【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級](rds-controls.md#rds-35)
+ [【RDS.40】 RDS for SQL Server 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-40)
+ [【RDS.42】 RDS for MariaDB 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-42)
+ [【RDS.45】 Aurora MySQL 資料庫叢集應該啟用稽核記錄](rds-controls.md#rds-45)
+ [【Redshift.1】 Amazon Redshift 叢集應禁止公開存取](redshift-controls.md#redshift-1)
+ [【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密](redshift-controls.md#redshift-2)
+ [【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照](redshift-controls.md#redshift-3)
+ [【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4)
+ [【Redshift.6】 Amazon Redshift 應已啟用主要版本的自動升級](redshift-controls.md#redshift-6)
+ [【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由](redshift-controls.md#redshift-7)
+ [【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱](redshift-controls.md#redshift-8)
+ [【Redshift.10】 應靜態加密 Redshift 叢集](redshift-controls.md#redshift-10)
+ [【RedshiftServerless.4] Redshift Serverless 命名空間應使用客戶受管加密 AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+ [【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢](route53-controls.md#route53-2)
+ [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1)
+ [【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2)
+ [【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3)
+ [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5)
+ [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6)
+ [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7)
+ [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8)
+ [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9)
+ [【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態](s3-controls.md#s3-10)
+ [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11)
+ [【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取](s3-controls.md#s3-12)
+ [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13)
+ [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14)
+ [【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定](s3-controls.md#s3-15)
+ [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17)
+ [【S3.19】 S3 存取點應啟用封鎖公開存取設定](s3-controls.md#s3-19)
+ [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20)
+ [【SageMaker.1] Amazon SageMaker 筆記本執行個體不應具有直接網際網路存取](sagemaker-controls.md#sagemaker-1)
+ [【SageMaker.2] 應在自訂 VPC 中啟動 SageMaker 筆記本執行個體](sagemaker-controls.md#sagemaker-2)
+ [【SageMaker.3] 使用者不應擁有 SageMaker 筆記本執行個體的根存取權](sagemaker-controls.md#sagemaker-3)
+ [【SageMaker.4] SageMaker 端點生產變體的初始執行個體計數應大於 1](sagemaker-controls.md#sagemaker-4)
+ [【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換](secretsmanager-controls.md#secretsmanager-1)
+ [【SecretsManager.2] 設定自動輪換的 Secrets Manager 秘密應能成功輪換](secretsmanager-controls.md#secretsmanager-2)
+ [【SecretsManager.3] 移除未使用的 Secrets Manager 秘密](secretsmanager-controls.md#secretsmanager-3)
+ [【SecretsManager.4] Secrets Manager 秘密應在指定的天數內輪換](secretsmanager-controls.md#secretsmanager-4)
+ [【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用](servicecatalog-controls.md#servicecatalog-1)
+ [【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS](sns-controls.md#sns-1)
+ [【SQS.1】 Amazon SQS 佇列應靜態加密](sqs-controls.md#sqs-1)
+ [【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager](ssm-controls.md#ssm-1)
+ [【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態](ssm-controls.md#ssm-2)
+ [【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態](ssm-controls.md#ssm-3)
+ [【SSM.4】 SSM 文件不應公開](ssm-controls.md#ssm-4)
+ [【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線](transfer-controls.md#transfer-2)
+ [【Transfer.3】 Transfer Family 連接器應該已啟用記錄](transfer-controls.md#transfer-3)
+ [【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄](waf-controls.md#waf-1)
+ [【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件](waf-controls.md#waf-2)
+ [【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則](waf-controls.md#waf-3)
+ [【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-4)
+ [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6)
+ [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7)
+ [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8)
+ [【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組](waf-controls.md#waf-10)
+ [【WAF.11】應該啟用 AWS WAF Web ACL 記錄](waf-controls.md#waf-11)
+ [【WAF.12】 AWS WAF 規則應啟用 CloudWatch 指標](waf-controls.md#waf-12)