Regionale Grenzwerte für Kontrollen

AWS Security Hub-Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Auf dieser Seite wird angegeben, welche Steuerelemente in bestimmten Regionen nicht verfügbar sind. Ein Steuerelement wird nicht in der Liste der Steuerelemente auf der Security Hub Hub-Konsole angezeigt, wenn es in der Region, in der Sie angemeldet sind, nicht verfügbar ist.

Inhalt

• USA Ost (Nord-Virginia)

• USA Ost (Ohio)

• USA West (Nordkalifornien)

• USA West (Oregon)

• Afrika (Kapstadt)

• Asien-Pazifik (Hongkong)

• Asien-Pazifik (Hyderabad)

• Asien-Pazifik (Jakarta)

• Asien-Pazifik (Malaysia)

• Asien-Pazifik (Melbourne)

• Asien-Pazifik (Mumbai)

• Asien-Pazifik (Osaka)

• Asien-Pazifik (Seoul)

• Asien-Pazifik (Singapur)

• Asien-Pazifik (Sydney)

• Asien-Pazifik (Thailand)

• Asien-Pazifik (Tokio)

• Kanada (Zentral)

• Kanada West (Calgary)

• China (Peking)

• China (Ningxia)

• Europa (Frankfurt)

• Europa (Irland)

• Europa (London)

• Europa (Milan)

• Europa (Paris)

• Europa (Spain)

• Europa (Stockholm)

• Europa (Zürich)

• Israel (Tel Aviv)

• Mexiko (Zentral)

• Naher Osten (Bahrain)

• Naher Osten (VAE)

• Südamerika (São Paulo)

• AWS GovCloud (US-Ost)

• AWS GovCloud (US-West)

USA Ost (Nord-Virginia)

Die folgenden Steuerelemente werden in der Region USA Ost (Nord-Virginia) nicht unterstützt.

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

USA Ost (Ohio)

Die folgenden Steuerelemente werden in der Region USA Ost (Ohio) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

USA West (Nordkalifornien)

Die folgenden Steuerelemente werden in der Region USA West (Nordkalifornien) nicht unterstützt.

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

USA West (Oregon)

Die folgenden Steuerelemente werden in der Region USA West (Oregon) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Afrika (Kapstadt)

Die folgenden Steuerelemente werden in der Region Afrika (Kapstadt) nicht unterstützt.

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

Asien-Pazifik (Hongkong)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Hongkong) nicht unterstützt.

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Hyderabad)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Hyderabad) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Jakarta)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Jakarta) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Malaysia)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Malaysia) nicht unterstützt.

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

• [EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

• [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden

• [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

• [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein

• [EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden

• [RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

• [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

• [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

• [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker KI-Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein

• [SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Melbourne)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Melbourne) nicht unterstützt.

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Mumbai)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Mumbai) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Asien-Pazifik (Osaka)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Osaka) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden

• [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

• [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden

• [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein

• [ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Seoul)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Seoul) nicht unterstützt.

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Asien-Pazifik (Singapur)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Singapur) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Asien-Pazifik (Sydney)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Sydney) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Asien-Pazifik (Thailand)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Thailand) nicht unterstützt.

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CloudTrail.9] CloudTrail Pfade sollten markiert werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

• [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumen sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN-Gateways sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

• [EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

• [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden

• [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

• [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein

• [EC2.172] Die Einstellungen von EC2 VPC Block Public Access sollten den Internet-Gateway-Verkehr blockieren

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [ECS.13] ECS-Services sollten markiert werden

• [ECS.14] ECS-Cluster sollten markiert werden

• [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden

• [ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein

• [EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden

• [ELB.7] Bei Classic Load Balancers sollte der Verbindungsverlust aktiviert sein

• [ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein

• [ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben

• [ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden

• [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.3] AWS KMS keys sollte nicht versehentlich gelöscht werden

• [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.16] RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden

• [RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden

• [RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden

• [RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden

• [RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden

• [RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS-DB-Cluster sollten markiert werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

• [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

• [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

• [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker KI-Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein

• [SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.3] SNS-Themen sollten markiert werden

• [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Asien-Pazifik (Tokio)

Die folgenden Steuerelemente werden in der Region Asien-Pazifik (Tokio) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Kanada (Zentral)

Die folgenden Steuerelemente werden in der Region Kanada (Mitte) nicht unterstützt.

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Kanada West (Calgary)

Die folgenden Steuerelemente werden in der Region Kanada West (Calgary) nicht unterstützt.

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

• [EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

• [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden

• [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

• [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein

• [EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden

• [RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [RDS.40] RDS für SQL Server-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

• [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

• [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

• [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker KI-Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein

• [SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

China (Peking)

Die folgenden Steuerelemente werden in der Region China (Peking) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Pfade sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumen sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN-Gateways sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

• [EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.13] ECS-Services sollten markiert werden

• [ECS.14] ECS-Cluster sollten markiert werden

• [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden

• [RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein

• [RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.16] RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS-DB-Cluster sollten markiert werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

• [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker KI-Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.3] SNS-Themen sollten markiert werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

China (Ningxia)

Die folgenden Steuerelemente werden in der Region China (Ningxia) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.1] Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Pfade sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumen sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN-Gateways sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.13] ECS-Services sollten markiert werden

• [ECS.14] ECS-Cluster sollten markiert werden

• [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

• [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden

• [Lambda.3] Lambda-Funktionen sollten sich in einer VPC befinden

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein

• [RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.28] RDS-DB-Cluster sollten markiert werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker KI-Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.3] SNS-Themen sollten markiert werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

Europa (Frankfurt)

Die folgenden Steuerelemente werden in der Region Europa (Frankfurt) nicht unterstützt.

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Europa (Irland)

Die folgenden Steuerelemente werden in der Region Europa (Irland) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Europa (London)

Die folgenden Steuerelemente werden in der Region Europa (London) nicht unterstützt.

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

Europa (Milan)

Die folgenden Steuerelemente werden in der Region Europa (Mailand) nicht unterstützt.

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Europa (Paris)

Die folgenden Steuerelemente werden in der Region Europa (Paris) nicht unterstützt.

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Europa (Spain)

Die folgenden Steuerelemente werden in der Region Europa (Spanien) nicht unterstützt.

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.1] Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein

• [EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

• [RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

• [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Europa (Stockholm)

Die folgenden Steuerelemente werden in der Region Europa (Stockholm) nicht unterstützt.

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Europa (Zürich)

Die folgenden Steuerelemente werden in der Region Europa (Zürich) nicht unterstützt.

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Israel (Tel Aviv)

Die folgenden Kontrollen werden in der Region Israel (Tel Aviv) nicht unterstützt.

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

• [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden

• [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

• [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Macie.1] Amazon Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.1] Der RDS-Snapshot sollte privat sein

• [RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden

• [RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.1] SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Mexiko (Zentral)

Die folgenden Steuerelemente werden in der Region Mexiko (Zentral) nicht unterstützt.

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

• [CloudTrail.9] CloudTrail Pfade sollten markiert werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden

• [DataSync.1] Für DataSync Aufgaben sollte die Protokollierung aktiviert sein

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.10] Amazon EC2 sollte so konfiguriert sein, dass es VPC-Endpunkte verwendet, die für den Amazon-Service erstellt wurden EC2

• [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumen sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN-Gateways sollten markiert werden

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

• [EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

• [EC2.55] VPCs sollte mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden

• [EC2.56] VPCs sollte mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden

• [EC2.57] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.171] Bei EC2 VPN-Verbindungen sollte die Protokollierung aktiviert sein

• [EC2.172] Die Einstellungen von EC2 VPC Block Public Access sollten den Internet-Gateway-Verkehr blockieren

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [ECS.13] ECS-Services sollten markiert werden

• [ECS.14] ECS-Cluster sollten markiert werden

• [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden

• [ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EFS.6] EFS-Mount-Ziele sollten keinem öffentlichen Subnetz zugeordnet werden

• [EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein

• [EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden

• [ELB.7] Bei Classic Load Balancers sollte der Verbindungsverlust aktiviert sein

• [ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein

• [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein

• [ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben

• [ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden

• [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein

• [GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.7] Die Passwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.10] Passwortrichtlinien für IAM-Benutzer sollten strenge Gültigkeitsdauer haben AWS Config

• [IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

• [IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

• [IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

• [IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

• [IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

• [IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

• [IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [Kinesis.3] Kinesis-Streams sollten über eine angemessene Aufbewahrungsfrist für Daten verfügen

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.3] AWS KMS keys sollte nicht versehentlich gelöscht werden

• [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.16] RDS-DB-Cluster sollten so konfiguriert werden, dass sie Tags in Snapshots kopieren

• [RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden

• [RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden

• [RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden

• [RDS.21] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankparametergruppenereignisse konfiguriert werden

• [RDS.22] Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbanksicherheitsgruppenereignisse konfiguriert werden

• [RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS-DB-Cluster sollten markiert werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch

• [RDS.38] RDS für PostgreSQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [RDS.39] RDS für MySQL-DB-Instances sollten bei der Übertragung verschlüsselt werden

• [Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten

• [Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden

• [Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein

• [Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen

• [Redshift.16] Redshift-Cluster-Subnetzgruppen sollten Subnetze aus mehreren Availability Zones haben

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• [S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

• [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

• [S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

• [S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.4] Bei Produktionsvarianten für SageMaker KI-Endgeräte sollte die anfängliche Anzahl der Instances größer als 1 sein

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SecretsManager.1] Bei Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein

• [SecretsManager.2] Secrets Manager Manager-Geheimnisse, die mit automatischer Rotation konfiguriert sind, sollten erfolgreich rotieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [ServiceCatalog.1] Servicekatalog-Portfolios sollten nur innerhalb einer AWS Organisation gemeinsam genutzt werden

• [SNS.3] SNS-Themen sollten markiert werden

• [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

• [SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [Transfer.2] Transfer Family Family-Server sollten kein FTP-Protokoll für die Endpunktverbindung verwenden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Naher Osten (Bahrain)

Die folgenden Steuerelemente werden in der Region Naher Osten (Bahrain) nicht unterstützt.

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECR.5] ECR-Repositorys sollten verschlüsselt und vom Kunden verwaltet werden AWS KMS keys

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [NetworkFirewall.10] Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [Transfer.3] Bei Connectoren der Transfer-Familie sollte die Protokollierung aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Naher Osten (VAE)

Die folgenden Steuerelemente werden in der Region Naher Osten (VAE) nicht unterstützt.

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden

• [Backup.1] AWS Backup Wiederherstellungspunkte sollten im Ruhezustand verschlüsselt sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

• [CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DMS.10] Bei DMS-Endpunkten für Neptune-Datenbanken sollte die IAM-Autorisierung aktiviert sein

• [DMS.11] Bei DMS-Endpunkten für MongoDB sollte ein Authentifizierungsmechanismus aktiviert sein

• [DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.4] Gestoppte EC2 Instances sollten nach einem bestimmten Zeitraum entfernt werden

• [EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [EC2.12] Unbenutztes Amazon EC2 EIPs sollte entfernt werden

• [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.3] Classic Load Balancer Balancer-Listener sollten mit HTTPS- oder TLS-Terminierung konfiguriert werden

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [ELB.17] Anwendungs- und Netzwerk-Loadbalancer mit Listenern sollten die empfohlenen Sicherheitsrichtlinien verwenden

• [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.4] AWS Glue Spark-Jobs sollten auf unterstützten Versionen von ausgeführt werden AWS Glue

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

• [IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

• [IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

• [IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

• [IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

• [IAM.19] MFA sollte für alle IAM-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

• [Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

• [Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [KMS.1] Kundenverwaltete IAM-Richtlinien sollten keine Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.2] IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen

• [KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• Auf [Opensearch.10] OpenSearch -Domains sollte das neueste Softwareupdate installiert sein

• [Opensearch.11] OpenSearch Domains sollten mindestens drei dedizierte Primärknoten haben

• [RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.1] SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS

• [SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt werden

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

Südamerika (São Paulo)

Die folgenden Steuerelemente werden in der Region Südamerika (São Paulo) nicht unterstützt.

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

AWS GovCloud (US-Ost)

Die folgenden Steuerelemente werden in der Region AWS GovCloud (USA-Ost) nicht unterstützt.

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Pfade sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Connect.2] Für Amazon Connect Connect-Instances sollte die Protokollierung aktiviert sein CloudWatch

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumen sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN-Gateways sollten markiert werden

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [ECS.13] ECS-Services sollten markiert werden

• [ECS.14] ECS-Cluster sollten markiert werden

• [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.2] Classic Load Balancer mit SSL/HTTPS-Listenern sollten ein Zertifikat verwenden, das bereitgestellt wird von AWS Certificate Manager

• [ELB.8] Classic Load Balancer mit SSL-Listenern sollten eine vordefinierte Sicherheitsrichtlinie mit starker Dauer verwenden AWS Config

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [Glue.3] Transformationen für AWS Glue maschinelles Lernen sollten im Ruhezustand verschlüsselt werden

• [GuardDuty.1] GuardDuty sollte aktiviert sein

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS-DB-Cluster sollten markiert werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.1] Amazon SageMaker AI-Notebook-Instances sollten keinen direkten Internetzugang haben

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.3] SNS-Themen sollten markiert werden

• [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch

• [WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden

• [WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden

AWS GovCloud (US-West)

Die folgenden Steuerelemente werden in der Region AWS GovCloud (US-West) nicht unterstützt.

• [Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [Account.2] AWS-Konten sollte Teil einer Organisation sein AWS Organizations

• [ACM.2] Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• [ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden

• [APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

• [APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

• [APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

• [APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

• [APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

• [AppConfig.1] AWS AppConfig Anwendungen sollten mit Tags versehen werden

• [AppConfig.2] AWS AppConfig Konfigurationsprofile sollten mit Tags versehen werden

• [AppConfig.3] AWS AppConfig Umgebungen sollten markiert werden

• [AppConfig.4] AWS AppConfig Erweiterungszuordnungen sollten mit Tags versehen werden

• [AppFlow.1] AppFlow Amazon-Datenflüsse sollten mit Tags versehen werden

• [AppRunner.1] App Runner-Dienste sollten markiert werden

• [AppRunner.2] App Runner VPC-Konnektoren sollten markiert sein

• [AppSync.1] AWS AppSync API-Caches sollten im Ruhezustand verschlüsselt werden

• [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben

• [AppSync.4] AWS AppSync GraphQL APIs sollte markiert sein

• [AppSync.5] AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

• [AppSync.6] AWS AppSync API-Caches sollten bei der Übertragung verschlüsselt werden

• [Athena.2] Athena-Datenkataloge sollten mit Tags versehen werden

• [Athena.3] Athena-Arbeitsgruppen sollten markiert werden

• [AutoScaling.2] Die Amazon EC2 Auto Scaling Scaling-Gruppe sollte mehrere Availability Zones abdecken

• [AutoScaling.3] Auto Scaling Scaling-Gruppenstartkonfigurationen sollten EC2 Instances so konfigurieren, dass sie Instance Metadata Service Version 2 (IMDSv2) benötigen

• [Autoscaling.5] EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben

• [AutoScaling.6] Auto Scaling Scaling-Gruppen sollten mehrere Instance-Typen in mehreren Availability Zones verwenden

• [AutoScaling.9] Amazon EC2 Auto Scaling Scaling-Gruppen sollten EC2 Amazon-Startvorlagen verwenden

• [AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden

• [Backup.2] AWS Backup Wiederherstellungspunkte sollten markiert werden

• [Backup.3] AWS Backup Tresore sollten markiert sein

• [Backup.4] AWS Backup Berichtspläne sollten markiert werden

• [Backup.5] AWS Backup Backup-Pläne sollten markiert werden

• [Batch.1] Warteschlangen für Batch-Jobs sollten markiert werden

• [Batch.2] Richtlinien für die Batch-Planung sollten gekennzeichnet sein

• [Batch.3] Batch-Computing-Umgebungen sollten markiert werden

• [CloudFormation.2] CloudFormation Stapel sollten markiert werden

• Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein

• [CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen

• [CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein

• [CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein

• [CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein

• [CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden

• [CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten

• [CloudFront.9] CloudFront Distributionen sollten den Datenverkehr zu benutzerdefinierten Ursprüngen verschlüsseln

• [CloudFront.10] CloudFront Distributionen sollten keine veralteten SSL-Protokolle zwischen Edge-Standorten und benutzerdefinierten Ursprüngen verwenden

• [CloudFront.12] CloudFront Distributionen sollten nicht auf nicht existierende S3-Ursprünge verweisen

• [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden

• [CloudFront.14] CloudFront Distributionen sollten markiert werden

• [CloudTrail.9] CloudTrail Pfade sollten markiert werden

• [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

• [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

• [CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

• [CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden

• [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten

• [CodeBuild.2] CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten

• [CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [CodeBuild1.4] CodeBuild Projektumgebungen sollten eine AWS Config Protokollierungsdauer haben

• [CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten mit Tags versehen werden

• [CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden

• [Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein

• [Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden

• [Detective.1] Verhaltensdiagramme von Detektiven sollten markiert werden

• [DMS.2] DMS-Zertifikate sollten gekennzeichnet sein

• [DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden

• [DMS.4] DMS-Replikationsinstanzen sollten markiert werden

• [DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden

• [DMS.6] Für DMS-Replikationsinstanzen sollte das automatische Upgrade der Nebenversionen aktiviert sein

• [DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein

• [DMS.8] Bei DMS-Replikationsaufgaben für die Quelldatenbank sollte die Protokollierung aktiviert sein

• [DMS.9] DMS-Endpunkte sollten SSL verwenden

• [DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden

• [DocumentDB.2] Amazon DocumentDB-Cluster sollten über eine angemessene Aufbewahrungsfrist für Backups verfügen

• [DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• [DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch

• [DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein

• [DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren

• [DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• [DynamoDB.4] DynamoDB-Tabellen sollten in einem Backup-Plan vorhanden sein

• [DynamoDB.5] DynamoDB-Tabellen sollten mit Tags versehen werden

• [DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden

• [EC2.15] EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen

• [EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden

• [EC2.17] EC2 Amazon-Instances sollten nicht mehrere verwenden ENIs

• [EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

• [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden

• [EC2.23] Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren

• [EC2.24] EC2 Paravirtual-Instance-Typen von Amazon sollten nicht verwendet werden

• [EC2.25] EC2 Amazon-Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [EC2.28] EBS-Volumes sollten durch einen Backup-Plan abgedeckt sein

• [EC2.33] EC2 Transit-Gateway-Anhänge sollten mit Tags versehen werden

• [EC2.34] Die Routentabellen für EC2 Transit-Gateways sollten mit Tags versehen werden

• [EC2.35] EC2 Netzwerkschnittstellen sollten markiert werden

• [EC2.36] EC2 Kunden-Gateways sollten mit Tags versehen werden

• [EC2.37] EC2 Elastische IP-Adressen sollten mit Tags versehen werden

• [EC2.38] EC2 Instances sollten markiert werden

• [EC2.39] EC2 Internet-Gateways sollten markiert werden

• [EC2.40] EC2 NAT-Gateways sollten markiert werden

• [EC2.41] Das EC2 Netzwerk ACLs sollte markiert sein

• [EC2.42] EC2 Routing-Tabellen sollten mit Tags versehen werden

• [EC2.43] EC2 Sicherheitsgruppen sollten markiert werden

• [EC2.44] EC2 Subnetze sollten markiert werden

• [EC2.45] EC2 Volumen sollten mit Tags versehen werden

• [EC2.46] Amazon VPCs sollte markiert werden

• [EC2.47] Amazon VPC Endpoint Services sollten markiert werden

• [EC2.48] Amazon VPC-Flow-Logs sollten markiert werden

• [EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden

• [EC2.50] EC2 VPN-Gateways sollten markiert werden

• [EC2.52] EC2 Transit-Gateways sollten markiert werden

• [EC2.58] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager-Kontakte konfiguriert sein

• [EC2.60] VPCs sollte mit einem Schnittstellenendpunkt für Systems Manager Incident Manager konfiguriert werden

• [EC2.170] EC2 Startvorlagen sollten Instance Metadata Service Version 2 () verwenden IMDSv2

• [ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein

• [ECR.2] Bei privaten ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein

• [ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein

• [ECR.4] Öffentliche ECR-Repositorien sollten markiert werden

• [ECS.1] Amazon ECS-Aufgabendefinitionen sollten sichere Netzwerkmodi und Benutzerdefinitionen enthalten.

• [ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen

• [ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden

• [ECS.5] ECS-Container sollten auf den schreibgeschützten Zugriff auf Root-Dateisysteme beschränkt sein

• [ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden

• [ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen

• [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen

• [ECS.12] ECS-Cluster sollten Container Insights verwenden

• [ECS.13] ECS-Services sollten markiert werden

• [ECS.14] ECS-Cluster sollten markiert werden

• [ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden

• [EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein

• [EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen

• [EFS.4] EFS-Zugangspunkte sollten eine Benutzeridentität erzwingen

• [EFS.5] EFS-Zugangspunkte sollten markiert werden

• [EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden

• [EKS.6] EKS-Cluster sollten markiert werden

• [EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden

• [EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein

• Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein

• [ElastiCache.2] Bei ElastiCache Clustern sollten automatische Upgrades für kleinere Versionen aktiviert sein

• [ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein

• [ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden

• [ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden

• [ElastiCache.6] Für Replikationsgruppen ElastiCache (Redis OSS) früherer Versionen sollte Redis OSS AUTH aktiviert sein

• [ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden

• [ElasticBeanstalk.1] Elastic Beanstalk Beanstalk-Umgebungen sollten erweiterte Gesundheitsberichte aktiviert haben

• [ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein

• [ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch

• [ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken

• [ELB.12] Application Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimationsmodus konfiguriert werden

• [ELB.13] Anwendungs-, Netzwerk- und Gateway-Load Balancer sollten sich über mehrere Availability Zones erstrecken

• [ELB.14] Classic Load Balancer sollte mit einem defensiven oder strengsten Desync-Minimitationsmodus konfiguriert werden

• [ELB.16] Application Load Balancers sollten mit einer Web-ACL verknüpft sein AWS WAF

• [EMR.2] Die Amazon EMR-Einstellung zum Blockieren des öffentlichen Zugriffs sollte aktiviert sein

• [EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden

• [EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden

• [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein

• [ES.9] Elasticsearch-Domains sollten markiert werden

• [EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein

• [EventBridge.3] An EventBridge benutzerdefinierte Eventbusse sollte eine ressourcenbasierte Richtlinie angehängt werden

• [EventBridge.4] Auf EventBridge globalen Endpunkten sollte die Ereignisreplikation aktiviert sein

• [FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden

• [FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein

• [FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten gekennzeichnet werden

• [FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden

• [FSx.1] FSx für OpenZFS-Dateisysteme sollte so konfiguriert sein, dass Tags auf Backups und Volumes kopiert werden

• [FSx.2] FSx für Lustre-Dateisysteme sollten so konfiguriert sein, dass Tags in Backups kopiert werden

• [GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten gekennzeichnet sein

• [Glue.1] AWS Glue Jobs sollten markiert werden

• [GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein

• [GuardDuty.3] GuardDuty IPSets sollte markiert sein

• [GuardDuty.4] GuardDuty Detektoren sollten markiert sein

• [GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein

• [GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein

• [GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein

• [GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein

• [GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein

• [IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

• [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

• [IAM.21] Kundenverwaltete IAM-Richtlinien, die Sie erstellen, sollten keine Platzhalteraktionen für Dienste zulassen

• [IAM.23] IAM Access Analyzer-Analyzer sollten markiert werden

• [IAM.24] IAM-Rollen sollten markiert werden

• [IAM.25] IAM-Benutzer sollten markiert werden

• [IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

• [Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

• [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden

• [IoT.2] AWS IoT Core Minderungsmaßnahmen sollten gekennzeichnet werden

• [IoT.3] AWS IoT Core -Dimensionen sollten markiert werden

• [IoT.4] AWS IoT Core Autorisierer sollten markiert werden

• [IoT.5] AWS IoT Core Rollenaliase sollten markiert werden

• [IoT.6] AWS IoT Core Richtlinien sollten markiert werden

• [Io TEvents .1] AWS IoT-Events-Eingaben sollten markiert werden

• [Io TEvents .2] Modelle zur Erkennung von AWS IoT Events sollten markiert werden

• [Io TEvents .3] Alarmmodelle für AWS IoT Events sollten markiert werden

• [Io TSite Wise.1] AWS SiteWise IoT-Asset-Modelle sollten markiert werden

• [Io TSite Wise.2] AWS SiteWise IoT-Dashboards sollten markiert werden

• [Io TSite Wise.3] AWS SiteWise IoT-Gateways sollten markiert werden

• [Io TSite Wise.4] AWS SiteWise IoT-Portale sollten markiert werden

• [Io TSite Wise.5] AWS SiteWise IoT-Projekte sollten markiert werden

• [Io TTwin Maker.1] AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden

• [Io TTwin Maker.2] AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden

• [Io TTwin Maker.3] AWS TwinMaker IoT-Szenen sollten markiert werden

• [Io TTwin Maker.4] AWS TwinMaker IoT-Entitäten sollten markiert werden

• [Io TWireless .1] AWS IoT Wireless Wireless-Multicast-Gruppen sollten markiert werden

• [Io TWireless .2] AWS IoT-Wireless-Dienstprofile sollten markiert werden

• [Io TWireless .3] AWS IoT FUOTA-Aufgaben sollten markiert werden

• [IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert sein

• [IVS.2] IVS-Aufzeichnungskonfigurationen sollten mit einem Tag versehen werden

• [IVS.3] IVS-Kanäle sollten markiert werden

• [Keyspaces.1] Amazon Keyspaces-Keyspaces sollten mit Tags versehen sein

• [Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden

• [Kinesis.2] Kinesis-Streams sollten markiert werden

• [KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein

• [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

• [Lambda.6] Lambda-Funktionen sollten markiert werden

• [Macie.1] Amazon Macie sollte aktiviert sein

• [Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein

• [MQ.3] Bei Amazon MQ-Brokern sollte das automatische Upgrade der Nebenversion aktiviert sein

• [MQ.4] Amazon MQ-Broker sollten markiert werden

• [MQ.5] ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• [MQ.6] RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• [MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• [MSK.2] Für MSK-Cluster sollte die erweiterte Überwachung konfiguriert sein

• [MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden

• [Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [Neptune.6] Neptune-DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [Neptune.7] Bei Neptune-DB-Clustern sollte die IAM-Datenbankauthentifizierung aktiviert sein

• [Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [Neptune.9] Neptune-DB-Cluster sollten in mehreren Availability Zones bereitgestellt werden

• [NetworkFirewall.1] Netzwerk-Firewall-Firewalls sollten in mehreren Availability Zones eingesetzt werden

• [NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein

• [NetworkFirewall.3] Netzwerk-Firewall-Richtlinien sollten mindestens eine Regelgruppe zugeordnet haben

• [NetworkFirewall.4] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für vollständige Pakete „Verwerfen“ oder „Weiterleiten“ sein.

• [NetworkFirewall.5] Die standardmäßige statuslose Aktion für Netzwerk-Firewall-Richtlinien sollte für fragmentierte Pakete „Drop“ oder „Forward“ sein.

• [NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein

• [NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden

• [NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden

• [NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein

• Bei [Opensearch.1] OpenSearch -Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein

• [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein

• [Opensearch.3] OpenSearch -Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden

• Die Protokollierung von [Opensearch.4] OpenSearch Domain-Fehlern in CloudWatch Logs sollte aktiviert sein

• Für [Opensearch.5] OpenSearch -Domains sollte die Audit-Protokollierung aktiviert sein

• [Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben

• Für [Opensearch.7] OpenSearch -Domains sollte eine differenzierte Zugriffskontrolle aktiviert sein

• [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden

• [Opensearch.9] OpenSearch -Domains sollten mit Tags versehen werden

• [PCA.1] AWS Private CA Root Certificate Authority sollte deaktiviert sein

• [PCA.2] AWS Private CA-Zertifizierungsstellen sollten gekennzeichnet werden

• [RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

• [RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

• [RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein

• [RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• [RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden

• [RDS.25] RDS-Datenbank-Instances sollten einen benutzerdefinierten Administrator-Benutzernamen verwenden

• [RDS.26] RDS-DB-Instances sollten durch einen Backup-Plan geschützt werden

• [RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [RDS.28] RDS-DB-Cluster sollten markiert werden

• [RDS.29] RDS-DB-Cluster-Snapshots sollten mit Tags versehen werden

• [RDS.30] RDS-DB-Instances sollten markiert werden

• [RDS.31] RDS-DB-Sicherheitsgruppen sollten markiert werden

• [RDS.32] RDS-DB-Snapshots sollten markiert werden

• [RDS.33] RDS-DB-Subnetzgruppen sollten markiert werden

• [RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade auf Nebenversionen aktiviert sein

• [Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden

• [Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden

• [Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden

• [Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [Redshift.11] Redshift-Cluster sollten markiert werden

• [Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden

• [Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden

• [Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden

• [Route 53.1] Route 53-Zustandsprüfungen sollten gekennzeichnet sein

• [Route53.2] Öffentlich gehostete Route 53-Zonen sollten DNS-Abfragen protokollieren

• [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

• [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

• [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

• [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

• [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

• [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

• [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

• [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

• [S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

• [SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

• [SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instances haben

• [SageMaker.5] SageMaker Modelle sollten eingehenden Datenverkehr blockieren

• [SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen

• [SecretsManager.4] Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden

• [SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden

• [SES.1] SES-Kontaktlisten sollten mit Tags versehen werden

• [SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden

• [SNS.3] SNS-Themen sollten markiert werden

• [SNS.4] Zugriffsrichtlinien für SNS-Themen sollten keinen öffentlichen Zugriff zulassen

• [SQS.2] SQS-Warteschlangen sollten markiert werden

• [SQS.3] Die Richtlinien für den Zugriff auf SQS-Warteschlangen sollten keinen öffentlichen Zugriff zulassen

• [SSM.4] SSM-Dokumente sollten nicht öffentlich sein

• [StepFunctions.1] Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben

• [StepFunctions.2] Die Aktivitäten von Step Functions sollten mit Tags versehen werden

• [Transfer.1] AWS Transfer Family -Workflows sollten mit Tags versehen werden

• [WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein

• [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben

• [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben

• [WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten

• [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben

• [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben

• [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben

• [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein

• Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch