Bonnes pratiques de fonctionnement pour le profil moyen de contrôle du cloud du Canadian Centre for Cyber Security (CCCS) - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de fonctionnement pour le profil moyen de contrôle du cloud du Canadian Centre for Cyber Security (CCCS)

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre le profil de contrôle du cloud moyen du Centre canadien pour la cybersécurité (CCCS) et les règles de configuration AWS gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles CCCS Medium Cloud Control Profile. Un contrôle de profil moyen de contrôle du cloud CCCS peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2(1) Gestion de compte AC-2(1) | Gestion automatisée des comptes système

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2(3) Gestion des comptes AC-2(3) | Désactiver les comptes inactifs

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2(3) Gestion des comptes AC-2(3) | Désactiver les comptes inactifs

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2(4) Gestion des comptes AC-2 (4) | Actions de vérification automatisées

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.A Gestion des comptes AC-2.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.B Gestion des comptes AC-2.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.C Gestion des comptes AC-2.C

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.D Gestion des comptes AC-2.D

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.E Gestion des comptes AC-2.E

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.F Gestion des comptes AC-2.F

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.G Gestion des comptes AC-2.G

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.H Gestion des comptes AC-2.H

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.I Gestion des comptes AC-2.I

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.J Gestion des comptes AC-2.J

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-2.K Gestion des comptes AC-2.K

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-3.A Exécution d'accès AC-3.A

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

alb-http-to-https-redirection-check

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

elasticsearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

elb-predefined-security-policy-ssl-check

Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

elb-tls-https-listeners-only

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

opensearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4(21) Exécution des flux d'informations AC-4(21) | Séparation physique/logique des flux d'informations

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

alb-http-to-https-redirection-check

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

elasticsearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

elb-predefined-security-policy-ssl-check

Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

elb-tls-https-listeners-only

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

opensearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-AC-4.A Exécution du flux d'informations AC-4.A

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-AC-5.A Séparation des tâches AC-5.A

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-5.A Séparation des tâches AC-5.A

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-5.A Séparation des tâches AC-5.A

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-5.A Séparation des tâches AC-5.A

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-5.A Séparation des tâches AC-5.A

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6(1) Moindre privilège AC-6(1) | Autoriser l'accès aux fonctions de sécurité

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-6(1) Moindre privilège AC-6(1) | Autoriser l'accès aux fonctions de sécurité

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6(1) Moindre privilège AC-6(1) | Autoriser l'accès aux fonctions de sécurité

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-AC-6(1) Moindre privilège AC-6(1) | Autoriser l'accès aux fonctions de sécurité

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-AC-6(1) Moindre privilège AC-6(1) | Autoriser l'accès aux fonctions de sécurité

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-AC-6(2) Moindre privilège AC-6(2) | Accès non privilégié pour les fonctions non liées à la sécurité

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6(2) Moindre privilège AC-6(2) | Accès non privilégié pour les fonctions non liées à la sécurité

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-6(2) Moindre privilège AC-6(2) | Accès non privilégié pour les fonctions non liées à la sécurité

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-AC-6(2) Moindre privilège AC-6(2) | Accès non privilégié pour les fonctions non liées à la sécurité

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-AC-6(2) Moindre privilège AC-6(2) | Accès non privilégié pour les fonctions non liées à la sécurité

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-AC-6(5) Moindre privilège AC-6(5) | Comptes privilégiés

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6(5) Moindre privilège AC-6(5) | Comptes privilégiés

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-AC-6(5) Moindre privilège AC-6(5) | Comptes privilégiés

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-AC-6(5) Moindre privilège AC-6(5) | Comptes privilégiés

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-6(9) Moindre privilège AC-6 (9) | Audit de l'utilisation des fonctions privilégiées

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AC-6(10) Moindre privilège AC-6(10) | Interdire aux utilisateurs non privilégiés d'exécuter des fonctions privilégiées

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6(10) Moindre privilège AC-6(10) | Interdire aux utilisateurs non privilégiés d'exécuter des fonctions privilégiées

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-6(10) Moindre privilège AC-6(10) | Interdire aux utilisateurs non privilégiés d'exécuter des fonctions privilégiées

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-AC-6(10) Moindre privilège AC-6(10) | Interdire aux utilisateurs non privilégiés d'exécuter des fonctions privilégiées

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-AC-6(10) Moindre privilège AC-6(10) | Interdire aux utilisateurs non privilégiés d'exécuter des fonctions privilégiées

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-6.A Moindre privilège AC-6.A

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

alb-waf-enabled

Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-AC-17(1) Accès à distance AC-17 (1) | Surveillance/contrôle automatisés

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AC-17(2) Accès à distance AC-17(2) | Protection de la confidentialité/l'intégrité à l'aide du chiffrement

alb-http-to-https-redirection-check

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-17(2) Accès à distance AC-17(2) | Protection de la confidentialité/l'intégrité à l'aide du chiffrement

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
CCCS-fPBMM-AC-17(2) Accès à distance AC-17(2) | Protection de la confidentialité/l'intégrité à l'aide du chiffrement

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
CCCS-fPBMM-AC-17(2) Accès à distance AC-17(2) | Protection de la confidentialité/l'intégrité à l'aide du chiffrement

elb-predefined-security-policy-ssl-check

Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation
CCCS-fPBMM-AC-17(2) Accès à distance AC-17(2) | Protection de la confidentialité/l'intégrité à l'aide du chiffrement

elb-tls-https-listeners-only

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-17(2) Accès à distance AC-17(2) | Protection de la confidentialité/l'intégrité à l'aide du chiffrement

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-AC-17(3) Accès à distance AC-17(3) | Points de contrôle d'accès gérés

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-17(4) Accès à distance AC-17(4) | Commandes/accès privilégiés

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-AC-17(4) Accès à distance AC-17(4) | Commandes/accès privilégiés

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-AC-17(4) Accès à distance AC-17(4) | Commandes/accès privilégiés

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-AC-17.A Accès à distance AC-17.A

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-AC-17.AA Accès à distance AC-17.AA

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-AC-17.B Accès à distance AC-17.B

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-2.A Événements d'audit AU-2.A

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-2.B Événements d'audit AU-2.B

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-2.C Événements d'audit AU-2.C

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-2.D Événements d'audit AU-2.D

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-3(1) Contenu des enregistrements d'audit AU-3(1) | Informations d'audit supplémentaires

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-3.A Contenu des enregistrements d'audit AU-3.A

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-5.A Réponse aux échecs du traitement d'audit AU-5.A

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-AU-5.B Réponse aux échecs du traitement d'audit AU-5.B

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-AU-6(1) Examen, analyse et génération de rapports d'audit AU-6(1) | Intégration des processus

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-AU-6(1) Examen, analyse et génération de rapports d'audit AU-6(1) | Intégration des processus

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-6(1) Examen, analyse et génération de rapports d'audit AU-6(1) | Intégration des processus

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-6(1) Examen, analyse et génération de rapports d'audit AU-6(1) | Intégration des processus

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-AU-6(1) Examen, analyse et génération de rapports d'audit AU-6(1) | Intégration des processus

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-6(1) Examen, analyse et génération de rapports d'audit AU-6(1) | Intégration des processus

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-6(3) Examen, analyse et génération de rapports d'audit AU-6 (3) | Corréler les référentiels d'audit

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-7(1) Réduction des audits et génération de rapports AU-7(1) | Traitement automatique

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-8.B Horodatages AU-8.B

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-9(2) Protection des informations d'audit AU-9(2) | Sauvegarde d'audit sur des systèmes/composants physiques distincts

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-AU-9(2) Protection des informations d'audit AU-9(2) | Sauvegarde d'audit sur des systèmes/composants physiques distincts

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-AU-9(2) Protection des informations d'audit AU-9(2) | Sauvegarde d'audit sur des systèmes/composants physiques distincts

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
CCCS-fPBMM-AU-9.A Protection des informations d'audit AU-9.A

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
CCCS-fPBMM-AU-9.A Protection des informations d'audit AU-9.A

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-AU-9.A Protection des informations d'audit AU-9.A

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
CCCS-fPBMM-AU-11.A Conservation des enregistrements d'audit AU-11.A

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-AU-11.B Conservation des enregistrements d'audit AU-11.B

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-AU-11.C Conservation des enregistrements d'audit AU-11.C

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-12.A Génération d'audits AU-12.A

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-AU-12.C Génération d'audits AU-12.C

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-CA-3(5) Interconnexions de systèmes CA-3(5) | Restrictions sur les connexions réseau externes

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.A Surveillance continue CA-7.A

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.B Surveillance continue CA-7.B

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.C Surveillance continue CA-7.C

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.D Surveillance continue CA-7.D

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.E Surveillance continue CA-7.E

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.F Surveillance continue CA-7.F

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

api-gw-xray-enabled

AWS X-Ray collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour visualiser, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation. Assurez-vous que X-Ray est activé afin que vous puissiez consulter des informations détaillées non seulement sur la demande et la réponse, mais également sur les appels que votre application fait aux AWS ressources en aval, aux microservices, aux bases de données et aux API Web HTTP.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

dynamodb-throughput-limit-check

Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

lambda-dlq-check

Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CA-7.G Surveillance continue CA-7.G

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

alb-http-to-https-redirection-check

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

elasticsearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

elb-predefined-security-policy-ssl-check

Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

elb-tls-https-listeners-only

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

opensearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-CA-9.A Connexions au système interne CA-9.A

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

ec2-stopped-instance

Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

ec2-volume-inuse-check

Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

redshift-cluster-maintenancesettings-check

Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-2.A Configuration de référence CM-2.A

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-3.A Contrôle des modifications de configuration CM-3.A

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.A Contrôle des modifications de configuration CM-3.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-3.B Contrôle des modifications de configuration CM-3.B

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.B Contrôle des modifications de configuration CM-3.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-3.C Contrôle des modifications de configuration CM-3.C

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.C Contrôle des modifications de configuration CM-3.C

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-3.D Contrôle des modifications de configuration CM-3.D

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.D Contrôle des modifications de configuration CM-3.D

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-3.E Contrôle des modifications de configuration CM-3.E

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.E Contrôle des modifications de configuration CM-3.E

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-3.F Contrôle des modifications de configuration CM-3F

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.F Contrôle des modifications de configuration CM-3F

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-3.G Contrôle des modifications de configuration CM-3.G

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-3.G Contrôle des modifications de configuration CM-3.G

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-user-mfa-enabled

Activez cette règle pour limiter l'accès aux ressources dans le Cloud  AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

secretsmanager-rotation-enabled-check

Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

secretsmanager-scheduled-rotation-success-check

Cette règle garantit que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CM-5(1) Restrictions d'accès liées au changement CM-5(1) | Exécution/audit automatisés des accès

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-5(5) Restrictions d'accès liées au changement CM-5(5) | Limitation de la production/Privilèges opérationnels

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-5.A Restrictions d'accès liées au changement CM-5.A

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6(1) Paramètres de configuration CM-6(1) | Gestion/application/vérification centralisées automatisées

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-6(1) Paramètres de configuration CM-6(1) | Gestion/application/vérification centralisées automatisées

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-6(1) Paramètres de configuration CM-6(1) | Gestion/application/vérification centralisées automatisées

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

cmk-backing-key-rotation-enabled

Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-CM-6.A Paramètres de configuration CM-6.A

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

cmk-backing-key-rotation-enabled

Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-CM-6.B Paramètres de configuration CM-6.B

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

cmk-backing-key-rotation-enabled

Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-CM-6.C Paramètres de configuration CM-6.C

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

cmk-backing-key-rotation-enabled

Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
CCCS-fPBMM-CM-6.D Paramètres de configuration CM-6.D

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
CCCS-fPBMM-CM-7.A Principe de moindre fonctionnalité CM-7.A

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CM-7.A Principe de moindre fonctionnalité CM-7.A

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-7.B Principe de moindre fonctionnalité CM-7.B

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
CCCS-fPBMM-CM-7.B Principe de moindre fonctionnalité CM-7.B

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
CCCS-fPBMM-CM-8(1) Inventaire des composants du système d'information CM-8(1) | Mises à jour lors de l'installation/la suppression

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8(1) Inventaire des composants du système d'information CM-8(1) | Mises à jour lors de l'installation/la suppression

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8(2) Inventaire des composants du système d'information CM-8(2) | Maintenance automatisée

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8(2) Inventaire des composants du système d'information CM-8(2) | Maintenance automatisée

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8(3) Inventaire des composants du système d'information CM-8(3) | Détection automatisée des composants non autorisés

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8(3) Inventaire des composants du système d'information CM-8(3) | Détection automatisée des composants non autorisés

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8(3) Inventaire des composants du système d'information CM-8(3) | Détection automatisée des composants non autorisés

ec2-managedinstance-patch-compliance-status-check

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
CCCS-fPBMM-CM-8(3) Inventaire des composants du système d'information CM-8(3) | Détection automatisée des composants non autorisés

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
CCCS-fPBMM-CM-8.A Inventaire des composants du système d'information CM-8.A

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8.A Inventaire des composants du système d'information CM-8.A

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8.B Inventaire des composants du système d'information CM-8.B

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8.B Inventaire des composants du système d'information CM-8.B

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8.C Inventaire des composants du système d'information CM-8.C

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8.C Inventaire des composants du système d'information CM-8.C

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8.D Inventaire des composants du système d'information CM-8.D

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8.D Inventaire des composants du système d'information CM-8.D

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CM-8.E Inventaire des composants du système d'information CM-8.E

ec2-instance-managed-by-systems-manager

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
CCCS-fPBMM-CM-8.E Inventaire des composants du système d'information CM-8.E

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

aurora-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

backup-recovery-point-minimum-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

dynamodb-pitr-enabled

Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

dynamodb-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

ebs-optimized-instance

Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

ebs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

ec2-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

efs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

elasticache-redis-cluster-automatic-backup-check

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

fsx-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

rds-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
CCCS-fPBMM-CP-2(5) Plan d'urgence CP-2(5) | Poursuivre les missions/fonctions métier essentielles

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2(6) Plan d'urgence CP-2(6) | Site de traitement/stockage alternatif

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2(6) Plan d'urgence CP-2(6) | Site de traitement/stockage alternatif

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2(6) Plan d'urgence CP-2(6) | Site de traitement/stockage alternatif

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CP-2(6) Plan d'urgence CP-2(6) | Site de traitement/stockage alternatif

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2(6) Plan d'urgence CP-2(6) | Site de traitement/stockage alternatif

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2(6) Plan d'urgence CP-2(6) | Site de traitement/stockage alternatif

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.A Plan d'urgence CP-2.A

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.B Plan d'urgence CP-2.B

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.C Plan d'urgence CP-2.C

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.D Plan d'urgence CP-2.D

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.E Plan d'urgence CP-2.E

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.F Plan d'urgence CP-2.F

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

rds-cluster-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

rds-cluster-multi-az-enabled

La réplication multi-AZ doit être activée sur les clusters Amazon Relational Database Service (Amazon RDS) afin de garantir la disponibilité des données stockées. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
CCCS-fPBMM-CP-2.G Plan d'urgence CP-2.G

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

aurora-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

backup-recovery-point-minimum-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

dynamodb-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

ebs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

ec2-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

efs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

elasticache-redis-cluster-automatic-backup-check

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

fsx-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

rds-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CP-6(1) Site de stockage alternatif CP-6(1) | Séparation du site principal

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

aurora-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

backup-recovery-point-minimum-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

dynamodb-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

ebs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

ec2-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

efs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

elasticache-redis-cluster-automatic-backup-check

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

fsx-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

rds-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CP-6(2) Site de stockage alternatif CP-6(2) | Objectifs en matière de délai et de point de récupération

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

aurora-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

backup-recovery-point-minimum-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

dynamodb-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

ebs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

ec2-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

efs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

elasticache-redis-cluster-automatic-backup-check

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

fsx-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

rds-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CP-6.A Site de stockage alternatif CP-6.A

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

aurora-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

backup-recovery-point-minimum-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

dynamodb-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

ebs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

ec2-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

efs-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

elasticache-redis-cluster-automatic-backup-check

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

fsx-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

rds-resources-protected-by-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
CCCS-fPBMM-CP-6.B Site de stockage alternatif CP-6.B

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion