Límites regionales

Algunas funcionesAWS de Security Hub solo están disponibles en algunasRegiones de AWS. En las siguientes secciones se especifican estos límites regionales.

Para obtener una lista de las regiones en las que está disponible Security Hub, consulte los puntosAWS de conexión y las cuotas de Security Hub en el Referencia general de AWS.

Contenido

• Restricciones de agregación entre regiones
• Disponibilidad de integraciones por región
  • Integraciones compatibles en China (Pekín) y China (Ningxia)
  • Integraciones compatibles enAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU. Oeste)
• Disponibilidad de normas por región
• Disponibilidad de controles por región
  • Este de EE. UU. (Ohio)
  • Este de EE. UU. (Norte de Virginia)
  • EE.UU. Oeste (Norte de California)
  • Oeste de EE. UU. (Oregón)
  • África (Ciudad del Cabo)
  • Asia-Pacífico (Hong Kong)
  • Asia Pacific (Hyderabad)
  • Asia-Pacífico (Yakarta)
  • Asia-Pacífico (Bombay)
  • Asia-Pacífico (Osaka)
  • Asia-Pacífico (Seúl)
  • Asia-Pacífico (Singapur)
  • Asia-Pacífico (Sídney)
  • Asia-Pacífico (Tokio)
  • Canadá (centro)
  • China (Pekín)
  • China (Ningxia)
  • Europa (Fráncfort)
  • Europa (Irlanda)
  • Europa (Londres)
  • Europa (Milán)
  • Europa (París)
  • Europa (España)
  • Europa (Estocolmo)
  • Europa (Zúrich)
  • Medio Oriente (Baréin)
  • Medio Oriente (EAU)
  • América del Sur (São Paulo)
  • AWS GovCloud (US-Este)
  • AWS GovCloud (EE. UU. Oeste)

Restricciones de agregación entre regiones

EnAWS GovCloud (US), la agregación interregionalAWS GovCloud (US) solo está disponible para los hallazgos, la búsqueda de actualizaciones y la información sobre ellas. En concreto, solo puede agregar hallazgos, buscar actualizaciones e información entreAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU. Oeste).

En las regiones de China, la agregación interregional solo está disponible para encontrar hallazgos, actualizaciones e información sobre las regiones de China. En concreto, solo puede agregar hallazgos, encontrar actualizaciones e información entre China (Pekín) y China (Ningxia).

No puede utilizar una región que esté deshabilitada de forma predeterminada como su región de agregación. Para obtener una lista de las regiones que están deshabilitadas de forma predeterminada, consulte Habilitar una región en Referencia general de AWS.

Disponibilidad de integraciones por región

Algunas integraciones no están disponibles en todas las regiones. Si una integración no está disponible en una región específica, no aparecerá en la página de integraciones de la consola de Security Hub cuando elija esa región.

Integraciones compatibles en China (Pekín) y China (Ningxia)

Las regiones China (Pekín) y China (Ningxia)AWS

• AWS Firewall Manager

• Amazon GuardDuty

• IAM Access Analyzer

• AWS IoT Device Defender

• Explorador Systems Manager

• Systems Manager OpsCenter

• Systems Manager de parches

Las regiones China (Pekín) y China (Ningxia)

• Cloud Custodian

• FireEye Helix

• Helecloud

• IBM QRadar

• PagerDuty

• Palo Alto Networks Cortex XSOAR

• Palo Alto Networks VM-Series

• Prowler

• RSA Archer

• Splunk Enterprise

• Splunk Phantom

• ThreatModeler

Integraciones compatibles enAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU. Oeste)

Las regionesAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU.) solo admiten las siguientes integraciones conAWS los servicios:

• AWS Config

• Amazon Detective

• AWS Firewall Manager

• Amazon GuardDuty

• AWS Health

• IAM Access Analyzer

• Amazon Inspector

• AWS IoT Device Defender

Las regionesAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU.) solo admiten las siguientes integraciones de terceros:

• Atlassian Jira Service Management

• Atlassian Jira Service Management Cloud

• Atlassian OpsGenie

• Caveonix Cloud

• Cloud Custodian

• Cloud Storage Security Antivirus for Amazon S3

• CrowdStrike Falcon

• FireEye Helix

• Forcepoint CASB

• Forcepoint DLP

• Forcepoint NGFW

• Fugue

• Kion

• MicroFocus ArcSight

• NETSCOUT Cyber Investigator

• PagerDuty

• Palo Alto Networks – Prisma Cloud Compute

• Palo Alto Networks – Prisma Cloud Enterprise

• Palo Alto Networks – VM-Series(disponible solo enAWS GovCloud (EE. UU.))

• Prowler

• Rackspace Technology – Cloud Native Security

• Rapid7 InsightConnect

• RSA Archer

• SecureCloudDb

• ServiceNow ITSM

• Slack

• ThreatModeler

• Vectra AI Cognito Detect

Disponibilidad de normas por región

Estándar gestionado por servicios: soloAWS Control Tower está disponible en las regiones que loAWS Control Tower admiten, incluidasAWS GovCloud (US). Para obtener una lista de las regionesAWS Control Tower compatibles, consulte HowRegiones de AWS Work WithAWS Control Tower en la Guía delAWS Control Tower usuario.

Hay otros estándares de seguridad disponibles en todas las regiones en las que está disponible Security Hub.

Disponibilidad de controles por región

Las siguientes regiones no admiten todos los controles de Security Hub. Para cada región, esta lista muestra los controles que no se admiten.

Límites regionales de los controles que forman parte del estándar administrado por servicios:AWS Control Tower coinciden con los límites regionales de los controles corolarios del estándar FSBP. Para obtener una lista de los controles de Service-Managed Standard:AWS Control Tower, consulteControles que se aplican a Service-Managed Standard:AWS Control Tower.

nota

En esta sección se enumeran los controles de seguridad que no están disponibles en cada región. Las ID de control de seguridad no se admiten en las regiones ChinaAWS GovCloud (US) Region y China. En estas regiones, los identificadores de control y los títulos pueden diferir y hacer referencia a estándares específicos. Para encontrar los identificadores de control y los títulos corolarios en estas regiones, consulte la segunda y la tercera columnas de la tabla enCómo afecta la consolidación a los ID de control y los títulos.

Este de EE. UU. (Ohio)

Los siguientes controles no se admiten en la Este de EE. UU. Oeste de EE. UU. Oeste de EE. UU. Oeste

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Los siguientes controles no se admiten en la Este de EE. UU. Oeste de EE. UU UU. Oeste de EE. UU UU. Oeste

Este de EE. UU. (Norte de Virginia)

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

EE.UU. Oeste (Norte de California)

Los siguientes controles no se admiten en la Oeste de EE. UU UU Oeste (Norte de California). Oeste de EE. UU. Oeste.

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Oeste de EE. UU. (Oregón)

Los siguientes controles no son compatibles en la región de EE. UU Oeste Oeste (Oregón). Oeste Oeste de EE. UU. Oeste

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

África (Ciudad del Cabo)

Los siguientes controles no se admiten en África (Ciudad del Cabo).

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.12] Se deben eliminar los EIP de Amazon EC2 no utilizados

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Asia-Pacífico (Hong Kong)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Hong Kong).

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia Pacific (Hyderabad)

Los siguientes controles no se admiten en la región de Asia-Pacífico (Hyderabad).

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.1] Los grupos de Auto Scaling asociados a un Classic Load Balancer deben utilizar las comprobaciones de estado del balanceador de cargas

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar CloudTrail registros no sea de acceso público

• [CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

• [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada point-in-time la recuperación

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

• [EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

• [EC2.7] El cifrado predeterminado de Amazon EBS debe estar habilitado

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

• [EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.5] Se debe habilitar el registro de aplicaciones y balanceadores de carga clásicos

• [ELB.6] La protección de eliminación del balanceador de carga de aplicaciones debe estar habilitada

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.9] Los balanceadores de carga clásicos deben tener activado el balanceo de cargas entre zonas

• [ELB.13] Los balanceadores de cargas de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

• [ES.2] Los dominios de Elasticsearch deben estar en una VPC

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos de tipo «*»

• [IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.4] La clave de acceso de IAM no debería existir

• [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

• [IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [IAM.22] Las credenciales de usuario de IAM no utilizadas durante 45 días deben eliminarse

• [KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

• La rotación deAWS KMS teclas [KMS.4] debe estar habilitada

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público

• [Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles

• [Lambda.3] Las funciones de Lambda deben estar en una VPC

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine PubliclyAccessible AWS Config la duración

• [RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

• [RDS.6] Se debe configurar una monitorización mejorada para las instancias de base de datos de RDS

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección de eliminación

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.11] Las instancias de RDS deben tener habilitadas las copias de seguridad automáticas

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

• [Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse durante el tránsito

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [Redshift.6] Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

• [S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

• [S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

• [S3.5] Los buckets de S3 deberían requerir que las solicitudes usen Secure Socket Layer

• [S3.6] Los permisos de S3 concedidos a otrasCuentas de AWS políticas de bucket deben restringirse

• [S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3

• [S3.15] Los cubos S3 deben configurarse para usar Object Lock

• [SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

• [SSM.1] Las instancias de Amazon EC2 deben gestionarse medianteAWS Systems Manager

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Asia-Pacífico (Yakarta)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Yakarta).

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 de modo que requieran Servicio de metadatos de instancia versión 2 (IMDSv2)

• [AutoScaling.4] LaAWS Config duración del lanzamiento del grupo de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1

• [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada point-in-time la recuperación

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

• [EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

• [EC2.7] El cifrado predeterminado de Amazon EBS debe estar habilitado

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

• [EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

• [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

• [ECS.4] Los contenedores ECS deben ejecutarse como contenedores sin privilegios

• [ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

• [ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

• [ECS.10] Los servicios de ECS Fargate deben ejecutarse en la versión más reciente de la plataforma Fargate

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.6] La protección de eliminación del balanceador de carga de aplicaciones debe estar habilitada

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.9] Los balanceadores de carga clásicos deben tener activado el balanceo de cargas entre zonas

• [ELB.12] El Application Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.13] Los balanceadores de cargas de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

• [ES.2] Los dominios de Elasticsearch deben estar en una VPC

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.4] La clave de acceso de IAM no debería existir

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.3] Las funciones de Lambda deben estar en una VPC

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.6] Se debe configurar una monitorización mejorada para las instancias de base de datos de RDS

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección de eliminación

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

• [Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse durante el tránsito

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

• [S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

• [S3.15] Los cubos S3 deben configurarse para usar Object Lock

• [SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

• [SSM.1] Las instancias de Amazon EC2 deben gestionarse medianteAWS Systems Manager

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.1] Los secretos de Secrets Manager deben tener habilitada la rotación automática

• [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Asia-Pacífico (Bombay)

Los siguientes controles no se admiten en la región de Asia-Pacífico (Mumbai).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Osaka)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Osaka).

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada point-in-time la recuperación

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.7] El cifrado predeterminado de Amazon EBS debe estar habilitado

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

• [EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

• [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

• [ECS.4] Los contenedores ECS deben ejecutarse como contenedores sin privilegios

• [ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

• [ECS.10] Los servicios de ECS Fargate deben ejecutarse en la versión más reciente de la plataforma Fargate

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.6] La protección de eliminación del balanceador de carga de aplicaciones debe estar habilitada

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.9] Los balanceadores de carga clásicos deben tener activado el balanceo de cargas entre zonas

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

• [ES.2] Los dominios de Elasticsearch deben estar en una VPC

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.4] La clave de acceso de IAM no debería existir

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

• [KMS.3] noAWS KMS keys debe eliminarse involuntariamente

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público

• [Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles

• [Lambda.3] Las funciones de Lambda deben estar en una VPC

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.6] Se debe configurar una monitorización mejorada para las instancias de base de datos de RDS

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección de eliminación

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

• [Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse durante el tránsito

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.15] Los cubos S3 deben configurarse para usar Object Lock

• [SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SecretsManager.1] Los secretos de Secrets Manager deben tener habilitada la rotación automática

• [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Asia-Pacífico (Seúl)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Seúl).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Singapur)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Singapur).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Sídney)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Sídney).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Tokio)

Los siguientes controles no son compatibles en la región de Asia-Pacífico (Tokio).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Canadá (centro)

Los siguientes controles no se admiten en Canadá (Central).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

China (Pekín)

Los siguientes controles no son compatibles en China (Pekín).

• [Cuenta.1] Se debe proporcionar la información de contacto de seguridad de unCuenta de AWS.

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe abarcar varias zonas de disponibilidad

• [AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 de modo que requieran Servicio de metadatos de instancia versión 2 (IMDSv2)

• [AutoScaling.4] LaAWS Config duración del lanzamiento del grupo de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1

• [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

• [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 o al puerto 3389

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

• [ECS.4] Los contenedores ECS deben ejecutarse como contenedores sin privilegios

• [ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

• [ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

• [ECS.10] Los servicios de ECS Fargate deben ejecutarse en la versión más reciente de la plataforma Fargate

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.10] El Classic Load Balancer debe abarcar varias zonas de disponibilidad

• [ELB.12] El Application Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.13] Los balanceadores de cargas de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

• [IAM.9] La MFA virtual debe estar habilitada para el usuario raíz

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

• [Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.10] Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida

• [S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

• [S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a buckets

• [S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

• [S3.14] Los buckets de S3 deberían usar el control de versiones

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

China (Ningxia)

Los siguientes controles no se admiten en China (Ningxia).

• [Cuenta.1] Se debe proporcionar la información de contacto de seguridad de unCuenta de AWS.

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe abarcar varias zonas de disponibilidad

• [AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 de modo que requieran Servicio de metadatos de instancia versión 2 (IMDSv2)

• [AutoScaling.4] LaAWS Config duración del lanzamiento del grupo de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1

• [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

• [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 o al puerto 3389

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

• [ECS.4] Los contenedores ECS deben ejecutarse como contenedores sin privilegios

• [ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

• [ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

• [ECS.10] Los servicios de ECS Fargate deben ejecutarse en la versión más reciente de la plataforma Fargate

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.10] El Classic Load Balancer debe abarcar varias zonas de disponibilidad

• [ELB.12] El Application Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.13] Los balanceadores de cargas de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

• [IAM.9] La MFA virtual debe estar habilitada para el usuario raíz

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público

• [Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles

• [Lambda.3] Las funciones de Lambda deben estar en una VPC

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

• [Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.10] Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida

• [S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

• [S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a buckets

• [S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

• [S3.14] Los buckets de S3 deberían usar el control de versiones

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Europa (Fráncfort)

Los siguientes controles no son compatibles en la región de Europa (Fráncfort).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (Irlanda)

Los siguientes controles no son compatibles en la región de Europa (Irlanda).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (Londres)

Los siguientes controles no se admiten en Europa (Londres).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (Milán)

Los siguientes controles no son compatibles en la región de Europa (Milán).

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.12] Se deben eliminar los EIP de Amazon EC2 no utilizados

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [KMS.3] noAWS KMS keys debe eliminarse involuntariamente

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse durante el tránsito

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Europa (París)

Los siguientes controles no son compatibles en la región de Europa (París).

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (España)

Los siguientes controles no se admiten en Europa (España).

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.1] Los grupos de Auto Scaling asociados a un Classic Load Balancer deben utilizar las comprobaciones de estado del balanceador de cargas

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar CloudTrail registros no sea de acceso público

• [CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

• [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada point-in-time la recuperación

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

• [EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

• [EC2.7] El cifrado predeterminado de Amazon EBS debe estar habilitado

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

• [EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.5] Se debe habilitar el registro de aplicaciones y balanceadores de carga clásicos

• [ELB.6] La protección de eliminación del balanceador de carga de aplicaciones debe estar habilitada

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.9] Los balanceadores de carga clásicos deben tener activado el balanceo de cargas entre zonas

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

• [ES.2] Los dominios de Elasticsearch deben estar en una VPC

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos de tipo «*»

• [IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.4] La clave de acceso de IAM no debería existir

• [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

• [IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [IAM.22] Las credenciales de usuario de IAM no utilizadas durante 45 días deben eliminarse

• [KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

• La rotación deAWS KMS teclas [KMS.4] debe estar habilitada

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público

• [Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles

• [Lambda.3] Las funciones de Lambda deben estar en una VPC

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine PubliclyAccessible AWS Config la duración

• [RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

• [RDS.6] Se debe configurar una monitorización mejorada para las instancias de base de datos de RDS

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección de eliminación

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.11] Las instancias de RDS deben tener habilitadas las copias de seguridad automáticas

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

• [Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse durante el tránsito

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [Redshift.6] Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

• [S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

• [S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

• [S3.5] Los buckets de S3 deberían requerir que las solicitudes usen Secure Socket Layer

• [S3.6] Los permisos de S3 concedidos a otrasCuentas de AWS políticas de bucket deben restringirse

• [S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3

• [S3.15] Los cubos S3 deben configurarse para usar Object Lock

• [SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

• [SSM.1] Las instancias de Amazon EC2 deben gestionarse medianteAWS Systems Manager

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Europa (Estocolmo)

Los siguientes controles no son compatibles en la región de Europa (Estocolmo).

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (Zúrich)

Los siguientes controles no se admiten en Europa (Zúrich).

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.1] Los grupos de Auto Scaling asociados a un Classic Load Balancer deben utilizar las comprobaciones de estado del balanceador de cargas

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar CloudTrail registros no sea de acceso público

• [CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

• [DynamoDB.2] Las tablas de DynamoDB deben tener habilitada point-in-time la recuperación

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

• [EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

• [EC2.7] El cifrado predeterminado de Amazon EBS debe estar habilitado

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

• [EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

• [ELB.4] El Application Load Balancer debe configurarse para eliminar los encabezados http

• [ELB.5] Se debe habilitar el registro de aplicaciones y balanceadores de carga clásicos

• [ELB.6] La protección de eliminación del balanceador de carga de aplicaciones debe estar habilitada

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.9] Los balanceadores de carga clásicos deben tener activado el balanceo de cargas entre zonas

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

• [ES.2] Los dominios de Elasticsearch deben estar en una VPC

• [ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos de tipo «*»

• [IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.4] La clave de acceso de IAM no debería existir

• [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

• [IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [IAM.22] Las credenciales de usuario de IAM no utilizadas durante 45 días deben eliminarse

• [KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

• La rotación deAWS KMS teclas [KMS.4] debe estar habilitada

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.1] Las políticas de funciones lambda deberían prohibir el acceso público

• [Lambda.2] Las funciones de Lambda deben utilizar tiempos de ejecución compatibles

• [Lambda.3] Las funciones de Lambda deben estar en una VPC

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine PubliclyAccessible AWS Config la duración

• [RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

• [RDS.6] Se debe configurar una monitorización mejorada para las instancias de base de datos de RDS

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección de eliminación

• [RDS.9] El registro de bases de datos debe estar activado

• [RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

• [RDS.11] Las instancias de RDS deben tener habilitadas las copias de seguridad automáticas

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

• [Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse durante el tránsito

• [Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

• [Redshift.6] Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

• [S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

• [S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

• [S3.5] Los buckets de S3 deberían requerir que las solicitudes usen Secure Socket Layer

• [S3.6] Los permisos de S3 concedidos a otrasCuentas de AWS políticas de bucket deben restringirse

• [S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.9] Se debe habilitar el registro de acceso al servidor de bucket S3

• [S3.15] Los cubos S3 deben configurarse para usar Object Lock

• [SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

• [SSM.1] Las instancias de Amazon EC2 deben gestionarse medianteAWS Systems Manager

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

Medio Oriente (Baréin)

Los siguientes controles no son compatibles en la región de Oriente Medio (Baréin).

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [EC2.20] Ambos túneles de VPN para una conexión deAWS Site-to-Site VPN deben estar activos

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [GuardDuty.1] GuardDuty debe estar activado

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [Redshift.6] Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Medio Oriente (EAU)

Los siguientes controles no son compatibles en la región de Oriente Medio (UAE).

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ApiGateway.1] El REST de API Gateway.1 y el registro de ejecución de la WebSocket API deben estar habilitados

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.1] Los grupos de Auto Scaling asociados a un Classic Load Balancer deben utilizar las comprobaciones de estado del balanceador de cargas

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos una ruta multirregional que incluya eventos de administración de lectura y escritura

• [CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar CloudTrail registros no sea de acceso público

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DMS.1] Las instancias de replicación del Database Migration Service no deben ser públicas

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

• [EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

• [EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

• [EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

• [EC2.7] El cifrado predeterminado de Amazon EBS debe estar habilitado

• [EC2.8] Las instancias de Amazon EC2 deben utilizar Instance Metadata Service Version 2 (IMDSv2)

• [EC2.12] Se deben eliminar los EIP de Amazon EC2 no utilizados

• [EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0.0/0 al puerto 22

• [EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0.0/0 al puerto 3389

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [EFS.1] Elastic File System debe configurarse para cifrar los datos de archivos en reposo medianteAWS KMS

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

• [ELB.9] Los balanceadores de carga clásicos deben tener activado el balanceo de cargas entre zonas

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [EMR.1] Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos de tipo «*»

• [IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.4] La clave de acceso de IAM no debería existir

• [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

• [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

• [IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

• [IAM.9] La MFA virtual debe estar habilitada para el usuario raíz

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

• [IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [IAM.22] Las credenciales de usuario de IAM no utilizadas durante 45 días deben eliminarse

• [KMS.1] Las políticas gestionadas por el cliente de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas de IAM en línea que permitan acciones de descifrado en todas las claves de KMS

• La rotación deAWS KMS teclas [KMS.4] debe estar habilitada

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.1] La instantánea de RDS debe ser privada

• [RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine PubliclyAccessible AWS Config la duración

• [RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

• [RDS.4] Las instantáneas del clúster de RDS y las instantáneas de bases de datos deben cifrarse en reposo

• [RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

• [RDS.6] Se debe configurar una monitorización mejorada para las instancias de base de datos de RDS

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección de eliminación

• [RDS.11] Las instancias de RDS deben tener habilitadas las copias de seguridad automáticas

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

• [S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

• [S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

• [S3.5] Los buckets de S3 deberían requerir que las solicitudes usen Secure Socket Layer

• [S3.6] Los permisos de S3 concedidos a otrasCuentas de AWS políticas de bucket deben restringirse

• [S3.7] Los buckets de S3 deben tener habilitada la replicación entre regiones

• [S3.14] Los buckets de S3 deberían usar el control de versiones

• [S3.15] Los cubos S3 deben configurarse para usar Object Lock

• [SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

• [SSM.1] Las instancias de Amazon EC2 deben gestionarse medianteAWS Systems Manager

• [SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

• [SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.1] Los secretos de Secrets Manager deben tener habilitada la rotación automática

• [SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

América del Sur (São Paulo)

Los siguientes controles no se admiten en América del Sur (São Paulo).

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [RDS.7] Los clústeres de RDS deben tener habilitada la protección de eliminación

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.16] Los clústeres de base de datos de RDS deben configurarse para copiar las etiquetas a las instantáneas

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

AWS GovCloud (US-Este)

Los siguientes controles no se admiten enAWS GovCloud (EE. UU.).

• [Cuenta.1] Se debe proporcionar la información de contacto de seguridad de unCuenta de AWS.

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe abarcar varias zonas de disponibilidad

• [AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 de modo que requieran Servicio de metadatos de instancia versión 2 (IMDSv2)

• [AutoScaling.4] LaAWS Config duración del lanzamiento del grupo de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1

• [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 o al puerto 3389

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

• [ECS.4] Los contenedores ECS deben ejecutarse como contenedores sin privilegios

• [ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

• [ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

• [ECS.10] Los servicios de ECS Fargate deben ejecutarse en la versión más reciente de la plataforma Fargate

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.2] Los balanceadores de carga clásicos con oyentes SSL/HTTPS deben usar un certificado proporcionado porAWS Certificate Manager

• [ELB.8] Los balanceadores de carga clásicos con detectores SSL deben utilizar una política de seguridad predefinida que tenga unaAWS Config duración sólida

• [ELB.10] El Classic Load Balancer debe abarcar varias zonas de disponibilidad

• [ELB.12] El Application Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.13] Los balanceadores de cargas de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [GuardDuty.1] GuardDuty debe estar activado

• [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

• [IAM.9] La MFA virtual debe estar habilitada para el usuario raíz

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

• [Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.10] Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida

• [S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

• [S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a buckets

• [S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

• [S3.14] Los buckets de S3 deberían usar el control de versiones

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SSM.4] Los documentos SSM no deben ser públicos

• [SageMaker.1] Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado

AWS GovCloud (EE. UU. Oeste)

Los siguientes controles no se admiten enAWS GovCloud (EE. UU.).

• [Cuenta.1] Se debe proporcionar la información de contacto de seguridad de unCuenta de AWS.

• [Cuenta.2]Cuentas de AWS debe ser parte de unaAWS Organizations organización

• [ApiGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de fondo

• [ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Ray el rastreo activado

• [ApiGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

• [ApiGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [ApiGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe abarcar varias zonas de disponibilidad

• [AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 de modo que requieran Servicio de metadatos de instancia versión 2 (IMDSv2)

• [AutoScaling.4] LaAWS Config duración del lanzamiento del grupo de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1

• [AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

• [Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

• [AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2

• [CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

• [CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

• [CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

• [CloudFront.3] CloudFront las distribuciones deben requerir el cifrado durante el tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

• [CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

• [CloudFront.6] CloudFront las distribuciones deben tener habilitado WAF

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] CloudFront las distribuciones deben usar SNI para atender las solicitudes de HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico según orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deben utilizar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes de S3 inexistentes

• [CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

• [CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

• [CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

• [CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

• [CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

• [CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [CodeBuild.4] Los entornos CodeBuild del proyecto deben tener una duraciónAWS Config de registro

• [CodeBuild.5] los entornos CodeBuild del proyecto no deberían tener activado el modo privilegiado

• [DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

• [DynamoDB Accelerator (DAX) se deben cifrar en estado de reposo

• [DynamoDB.4] Las tablas de DynamoDB deben incluirse en un plan de respaldo

• [EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

• [EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

• [EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

• [EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 o al puerto 3389

• [EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

• [EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

• [EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

• [EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

• [EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

• [EC2.29] Las instancias de EC2 deben lanzarse en una VPC

• [ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

• [ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

• [ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

• [ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red y definiciones de usuario seguros.

• [ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

• [ECS.4] Los contenedores ECS deben ejecutarse como contenedores sin privilegios

• [ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

• [ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

• [ECS.10] Los servicios de ECS Fargate deben ejecutarse en la versión más reciente de la plataforma Fargate

• [ECS.12] Los clústeres de ECS deben usar Container Insights

• [EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup

• [EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

• [EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario

• [EKS.1] Los puntos de enlace del clúster de EKS no deben ser de acceso público

• [EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

• [ElastiCache.1] ElastiCache para los clústeres de Redis deben tener programadas copias de seguridad automáticas

• [ElastiCache.2] Las actualizaciones de versiones menores deben aplicarse automáticamente a los clústeres ElastiCache de caché de Redis

• [ElastiCache.3] ElastiCache para Redis, los grupos de replicación deben tener habilitada la conmutación por error automática

• [ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben cifrarse en reposo

• [ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

• [ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, debe usar Redis AUTH

• [ElastiCache.7] ElastiCache Los clústeres no deben usar el grupo de subred predeterminado

• [ELB.10] El Classic Load Balancer debe abarcar varias zonas de disponibilidad

• [ELB.12] El Application Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.13] Los balanceadores de cargas de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

• [ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de la desincronización más estricto

• [ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una ACLAWS WAF web

• [ES.4] Se debe habilitar el registro de errores del dominio de Elasticsearch en CloudWatch Logs

• [ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados.

• [ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

• [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

• [IAM.9] La MFA virtual debe estar habilitada para el usuario raíz

• [IAM.21] Las políticas gestionadas por clientes de IAM que cree no deberían permitir acciones comodín para los servicios

• [Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

• [Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

• [NetworkFirewall.3] Las políticas Network Firewall deben tener asociado al menos un grupo de reglas

• [NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

• [NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

• [NetworkFirewall.6] El grupo de reglas Network Firewall sin estado no debe estar vacío

• OpenSearch Los dominios [Opensearch.1] deben tener habilitado el cifrado en reposo

• OpenSearch Los dominios de [Opensearch.2] deben estar en una VPC

• OpenSearch Los dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

• [Opensearch.4] OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar activado

• OpenSearch Los dominios [Opensearch.5] deben tener activado el registro de auditoría

• OpenSearch Los dominios [Opensearch.6] deben tener al menos tres nodos de datos

• OpenSearch Los dominios [Opensearch.7] deben tener activado el control de acceso detallado

• [Opensearch.8] Las conexiones a OpenSearch los dominios deben cifrarse mediante TLS 1.2

• [RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

• [RDS.13] Las actualizaciones automáticas de versiones secundarias de RDS deben estar habilitadas

• [RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

• [RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

• [RDS.24] Los clústeres de bases de datos RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

• [RDS.26] Las instancias de base de datos de RDS deben incluirse en un plan de respaldo

• [Redshift.7] Los clústeres de Redshift deben utilizar un enrutamiento de VPC mejorado

• [Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

• [Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

• [Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [S3.1] La configuración de S3 Block Public Access debe estar habilitada

• [S3.8] La configuración de acceso público en bloque de S3 debe estar habilitada a nivel de bucket

• [S3.10] Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida

• [S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

• [S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a buckets

• [S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

• [S3.14] Los buckets de S3 deberían usar el control de versiones

• [SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

• [SSM.4] Los documentos SSM no deben ser públicos

• [SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

• [SageMaker.3] Los usuarios no deberían tener acceso root a las instancias del SageMaker bloc de notas

• [SecretsManager.3] Eliminar los secretos no utilizados de Secrets Manager

• [SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

• [WAF.1] Se debe habilitar el registro de ACL web globalAWS WAF clásico

• [WAF.2] Una regla regional de la WAF debe tener al menos una condición

• [WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

• [WAF.4] Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas

• [WAF.6] Una regla global de WAF debe tener al menos una condición

• [WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

• [WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

• [WAF.10] Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas

• El registro de ACL web [WAF.11]AWS WAF v2 debe estar activado