AWS Bonnes pratiques de sécurité fondamentales v1.0.0 () standard FSBP - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Bonnes pratiques de sécurité fondamentales v1.0.0 () standard FSBP

La norme des meilleures pratiques de sécurité AWS fondamentales est un ensemble de contrôles qui détectent les cas où vous Comptes AWS et vos ressources dérogerez aux meilleures pratiques de sécurité.

La norme vous permet d'évaluer en permanence l'ensemble de vos charges Comptes AWS de travail afin d'identifier rapidement les domaines où les meilleures pratiques ne sont pas respectées. Il fournit des conseils pratiques et prescriptifs sur la manière d'améliorer et de maintenir le niveau de sécurité de votre organisation.

Les contrôles incluent les meilleures pratiques de sécurité pour les ressources provenant de plusieurs sources Services AWS. Chaque contrôle se voit également attribuer une catégorie qui reflète la fonction de sécurité à laquelle il s'applique. Pour de plus amples informations, veuillez consulter Liste des catégories de contrôle dans Security Hub.

Contrôles applicables à la FSBP norme

[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

[APIGateway.1] La journalisation de REST la API passerelle et de WebSocket API l'exécution doit être activée

[APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

[APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos

[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

[Athena.4] La journalisation des groupes de travail Athena doit être activée

[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé

[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité

[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)

[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité

[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon

[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

[CloudFront.5] la journalisation des CloudFront distributions doit être activée

[CloudFront.6] les CloudFront distributions auraient dû activer WAF

[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

[CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

[Configuration 1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos

[DataSync.1] la journalisation DataSync des tâches doit être activée

[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

[DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

[DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

[DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

[DMS.9] les DMS points de terminaison doivent utiliser SSL

[DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

[DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time

[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée

[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement

[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

[EC2.7] le chiffrement EBS par défaut doit être activé

[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4

[EC2.10] Amazon EC2 doit être configuré pour utiliser les VPC points de terminaison créés pour le service Amazon EC2

[EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

[EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé

[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

[EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

[EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

[EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

[ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

[ECS.2] ECS aucune adresse IP publique ne doit être attribuée automatiquement aux services

[ECS.3] les définitions de ECS tâches ne doivent pas partager l'espace de noms de processus de l'hôte

[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés

[ECS.5] les ECS conteneurs doivent être limités à l'accès en lecture seule aux systèmes de fichiers racine

[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

[ECS.12] les ECS clusters doivent utiliser Container Insights

[ECS.16] les ensembles de ECS tâches ne doivent pas attribuer automatiquement d'adresses IP publiques

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public

[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers

[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public

[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés

[EKS.8] la journalisation des audits doit être activée sur les EKS clusters

[ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

[ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

[ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication

[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos

[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport

[ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

[ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut

[ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

[ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides

[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée

[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques

[ELB.8] Les équilibreurs de charge classiques avec SSL écouteurs doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config

[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité

[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

[ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé

[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

[ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch

[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données

[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés

[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS

[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

[FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

[FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

[Colle.2] AWS Glue la journalisation des tâches doit être activée

[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos

[GuardDuty.1] GuardDuty doit être activé

[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée

[GuardDuty.6] La protection GuardDuty Lambda doit être activée

[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée

[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée

[GuardDuty.9] GuardDuty RDS La protection doit être activée

[GuardDuty.10] La protection GuardDuty S3 doit être activée

[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

[IAM.7] Les politiques de mot de passe pour les IAM utilisateurs doivent être configurées de manière stricte

[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

[IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

[Inspector.2] La ECR numérisation Amazon Inspector doit être activée

[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate

[KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

[KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

[KMS.3] AWS KMS keys ne doit pas être supprimé par inadvertance

[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge

[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

[Macie.1] Amazon Macie devrait être activé

[Macie.2] La découverte automatique des données sensibles par Macie doit être activée

[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport

[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

[Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

[Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

[Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

[NetworkFirewall.2] La journalisation du Network Firewall doit être activée

[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

[Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

[Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée

[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

[RDS.1] L'RDSinstantané doit être privé

[RDS.2] Les RDS instances de base de données doivent interdire l'accès public, tel que déterminé par la PubliclyAccessible configuration

[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

[RDS.4] les instantanés RDS du cluster et les instantanés de base de données doivent être chiffrés au repos

[RDS.5] Les RDS instances de base de données doivent être configurées avec plusieurs zones de disponibilité

[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données

[RDS.7] la protection contre la suppression des RDS clusters doit être activée

[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée

[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

[RDS.10] IAM l'authentification doit être configurée pour les instances RDS

[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances

[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

[RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

[RDS.16] Les clusters de RDS base de données doivent être configurés pour copier des balises dans des instantanés

[RDS.17] Les RDS instances de base de données doivent être configurées pour copier des balises dans des instantanés

[RDS.18] RDS les instances doivent être déployées dans un VPC

[RDS.19] Les abonnements existants aux notifications d'RDSévénements doivent être configurés pour les événements critiques du cluster

[RDS.20] Les abonnements existants aux notifications RDS d'événements doivent être configurés pour les événements critiques liés aux instances de base de données

[RDS.21] Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données

[RDS.22] Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques des groupes de sécurité de base de données

[RDS.23] les RDS instances ne doivent pas utiliser le port par défaut du moteur de base de données

[RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

[RDS.25] les instances RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

[RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

[RDS.36] RDS pour les SQL instances de base de données Postgre, les journaux doivent être publiés dans Logs CloudWatch

[RDS3.37] Les clusters de SQL base de données Aurora Postgre doivent publier les journaux dans Logs CloudWatch

[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift

[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures

[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut

[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

[Redshift.10] Les clusters Redshift doivent être chiffrés au repos

[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

[S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général

[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie

[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3

[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés

[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

[SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

[SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1

[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée

[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

[ServiceCatalog.1] Les portefeuilles de Service Catalog doivent être partagés au sein d'un AWS organisation uniquement

[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

[SSM.4] SSM les documents ne doivent pas être publics

[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser de FTP protocole pour la connexion des terminaux

[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

[WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

[WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

[WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées

[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos