Limites régionales relatives aux contrôles du Security Hub

La plupart AWS Les commandes du Security Hub ne sont disponibles que dans certains Régions AWS. Cette page indique quels contrôles ne sont pas disponibles dans chaque région. Aucun contrôle n'apparaît dans la liste des contrôles de la console Security Hub s'il n'est pas disponible dans la région à laquelle vous êtes connecté. L'exception est si vous êtes connecté à une région d'agrégation. Dans ce cas, vous pouvez voir les contrôles disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.

Table des matières

• USA Est (Virginie du Nord)
• USA Est (Ohio)
• USA Ouest (Californie du Nord)
• USA Ouest (Oregon)
• Afrique (Le Cap)
• Asie-Pacifique (Hong Kong)
• Asie-Pacifique (Hyderabad)
• Asie-Pacifique (Jakarta)
• Asie-Pacifique (Mumbai)
• Asie-Pacifique (Melbourne)
• Asie-Pacifique (Osaka)
• Asie-Pacifique (Séoul)
• Asie-Pacifique (Singapour)
• Asie-Pacifique (Sydney)
• Asie-Pacifique (Tokyo)
• Canada (Centre)
• Chine (Beijing)
• Chine (Ningxia)
• Europe (Francfort)
• Europe (Irlande)
• Europe (Londres)
• Europe (Milan)
• Europe (Paris)
• Europe (Espagne)
• Europe (Stockholm)
• Europe (Zurich)
• Israël (Tel Aviv)
• Moyen-Orient (Bahreïn)
• Moyen-Orient (UAE)
• Amérique du Sud (São Paulo)
• AWS GovCloud (USA Est)
• AWS GovCloud (US-Ouest)

USA Est (Virginie du Nord)

Les contrôles suivants ne sont pas pris en charge dans l'est des États-Unis (Virginie du Nord).

• [ElastiCache.4] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés au repos

• [ElastiCache.5] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés en transit

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

USA Est (Ohio)

Les contrôles suivants ne sont pas pris en charge dans l'est des États-Unis (Ohio).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

USA Ouest (Californie du Nord)

Les contrôles suivants ne sont pas pris en charge dans l'ouest des États-Unis (Californie du Nord).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

USA Ouest (Oregon)

Les contrôles suivants ne sont pas pris en charge dans l'ouest des États-Unis (Oregon).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [ECR.4] les référentiels ECR publics doivent être balisés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Afrique (Le Cap)

Les contrôles suivants ne sont pas pris en charge en Afrique (Cape Town).

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.10] IAM l'authentification doit être configurée pour les instances RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

Asie-Pacifique (Hong Kong)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Hong Kong).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.10] IAM l'authentification doit être configurée pour les instances RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Asie-Pacifique (Hyderabad)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Hyderabad).

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.4] La journalisation des groupes de travail Athena doit être activée

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

• [CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée

• [ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [RDS.2] Les RDS instances de base de données doivent interdire l'accès public, comme déterminé par le PubliclyAccessible AWS Config durée

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

• [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS

• [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Asie-Pacifique (Jakarta)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Jakarta).

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.1] La journalisation de REST la API passerelle et de WebSocket API l'exécution doit être activée

• [APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)

• [AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité

• [AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.3] les définitions de ECS tâches ne doivent pas partager l'espace de noms de processus de l'hôte

• [ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés

• [ECS.5] les ECS conteneurs doivent être limités à l'accès en lecture seule aux systèmes de fichiers racine

• [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

• [ECS.12] les ECS clusters doivent utiliser Container Insights

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [Colle.2] AWS Glue la journalisation des tâches doit être activée

• [Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

• [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général

• [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [ServiceCatalog.1] Les portefeuilles de Service Catalog doivent être partagés au sein d'un AWS organisation uniquement

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Asie-Pacifique (Mumbai)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Mumbai).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Asie-Pacifique (Melbourne)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Melbourne).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.4] La journalisation des groupes de travail Athena doit être activée

• [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [EKS.8] la journalisation des audits doit être activée sur les EKS clusters

• [ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

• [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de réplication ElastiCache (RedisOSS)

• [ElastiCache.4] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés au repos

• [ElastiCache.5] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés en transit

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.10] Les politiques relatives aux mots de passe pour IAM les utilisateurs doivent être strictes AWS Config durées

• [IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule

• [IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule

• [IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole

• [IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre

• [IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

• [IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

• [IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [SSM.4] SSM les documents ne doivent pas être publics

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [StepFunctions.2] Les activités de Step Functions doivent être étiquetées

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Asie-Pacifique (Osaka)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Osaka).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.1] La journalisation de REST la API passerelle et de WebSocket API l'exécution doit être activée

• [APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.7] le chiffrement EBS par défaut doit être activé

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4

• [EC2.10] Amazon EC2 doit être configuré pour utiliser les VPC points de terminaison créés pour le service Amazon EC2

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.3] les définitions de ECS tâches ne doivent pas partager l'espace de noms de processus de l'hôte

• [ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés

• [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

• [ECS.12] les ECS clusters doivent utiliser Container Insights

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

• [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

• [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge

• [Lambda.3] Les fonctions Lambda doivent être dans un VPC

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.4] les instantanés RDS du cluster et les instantanés de base de données doivent être chiffrés au repos

• [RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.10] IAM l'authentification doit être configurée pour les instances RDS

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

• [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Asie-Pacifique (Séoul)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Séoul).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Asie-Pacifique (Singapour)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Singapour).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Asie-Pacifique (Sydney)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Sydney).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Asie-Pacifique (Tokyo)

Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Tokyo).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Canada (Centre)

Les contrôles suivants ne sont pas pris en charge au Canada (Centre).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Chine (Beijing)

Les contrôles suivants ne sont pas pris en charge en Chine (Pékin).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [ACM.3] ACM les certificats doivent être étiquetés

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [AppSync4] AWS AppSync GraphQL APIs doit être balisé

• [Athena.2] Les catalogues de données Athena doivent être balisés

• [Athena.3] Les groupes de travail Athena doivent être balisés

• [AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.9] les CloudTrail sentiers doivent être balisés

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.5] Les tables DynamoDB doivent être balisées

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.35] les interfaces EC2 réseau doivent être étiquetées

• [EC2.36] les passerelles EC2 client doivent être étiquetées

• [EC2.37] Les adresses IP EC2 élastiques doivent être balisées

• [EC2.38] les EC2 instances doivent être étiquetées

• [EC2.39] les passerelles EC2 Internet doivent être étiquetées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.41] le EC2 réseau ACLs doit être étiqueté

• [EC2.42] les tables de EC2 routage doivent être balisées

• [EC2.43] les groupes EC2 de sécurité doivent être balisés

• [EC2.44] les EC2 sous-réseaux doivent être balisés

• [EC2.45] les EC2 volumes doivent être balisés

• [EC2.46] Amazon VPCs doit être tagué

• [EC2.47] Les services Amazon VPC Endpoint doivent être balisés

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées

• [EC2.50] les EC2 VPN passerelles doivent être étiquetées

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées

• [EC2.53] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants

• [EC2.54] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.13] les ECS services doivent être étiquetés

• [ECS.14] les ECS clusters doivent être balisés

• [ECS.15] les définitions de ECS tâches doivent être balisées

• [EFS.5] les points EFS d'accès doivent être étiquetés

• [EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public

• [EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés

• [EKS.6] les EKS clusters doivent être balisés

• [EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [ES.9] Les domaines Elasticsearch doivent être balisés

• [EventBridge.2] les bus EventBridge d'événements doivent être étiquetés

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [GuardDuty.1] GuardDuty doit être activé

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés

• [GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée

• [GuardDuty.6] La protection GuardDuty Lambda doit être activée

• [GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [GuardDuty.10] La protection GuardDuty S3 doit être activée

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.2] Les flux Kinesis doivent être balisés

• [Lambda.6] Les fonctions Lambda doivent être étiquetées

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés

• [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.10] IAM l'authentification doit être configurée pour les instances RDS

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.16] Les clusters de RDS base de données doivent être configurés pour copier des balises dans des instantanés

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.25] les instances RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.28] Les clusters de RDS base de données doivent être balisés

• [RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés

• [RDS.30] Les RDS instances de base de données doivent être étiquetées

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.32] Les instantanés de RDS base de données doivent être balisés

• [RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.11] Les clusters Redshift doivent être balisés

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Redshift.13] Les instantanés du cluster Redshift doivent être balisés

• [Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés

• [Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets

• [S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

• [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

• [SecretsManager.5] Les secrets de Secrets Manager doivent être balisés

• [ServiceCatalog.1] Les portefeuilles de Service Catalog doivent être partagés au sein d'un AWS organisation uniquement

• [SNS.3] SNS les sujets doivent être balisés

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [StepFunctions.2] Les activités de Step Functions doivent être étiquetées

• [Transfer.1] AWS Transfer Family les flux de travail doivent être balisés

• [Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser de FTP protocole pour la connexion des terminaux

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Chine (Ningxia)

Les contrôles suivants ne sont pas pris en charge en Chine (Ningxia).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [ACM.3] ACM les certificats doivent être étiquetés

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [AppSync4] AWS AppSync GraphQL APIs doit être balisé

• [Athena.2] Les catalogues de données Athena doivent être balisés

• [Athena.3] Les groupes de travail Athena doivent être balisés

• [AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.9] les CloudTrail sentiers doivent être balisés

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.5] Les tables DynamoDB doivent être balisées

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.35] les interfaces EC2 réseau doivent être étiquetées

• [EC2.36] les passerelles EC2 client doivent être étiquetées

• [EC2.37] Les adresses IP EC2 élastiques doivent être balisées

• [EC2.38] les EC2 instances doivent être étiquetées

• [EC2.39] les passerelles EC2 Internet doivent être étiquetées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.41] le EC2 réseau ACLs doit être étiqueté

• [EC2.42] les tables de EC2 routage doivent être balisées

• [EC2.43] les groupes EC2 de sécurité doivent être balisés

• [EC2.44] les EC2 sous-réseaux doivent être balisés

• [EC2.45] les EC2 volumes doivent être balisés

• [EC2.46] Amazon VPCs doit être tagué

• [EC2.47] Les services Amazon VPC Endpoint doivent être balisés

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées

• [EC2.50] les EC2 VPN passerelles doivent être étiquetées

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.13] les ECS services doivent être étiquetés

• [ECS.14] les ECS clusters doivent être balisés

• [ECS.15] les définitions de ECS tâches doivent être balisées

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EFS.5] les points EFS d'accès doivent être étiquetés

• [EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public

• [EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés

• [EKS.6] les EKS clusters doivent être balisés

• [EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [ES.9] Les domaines Elasticsearch doivent être balisés

• [EventBridge.2] les bus EventBridge d'événements doivent être étiquetés

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos

• [GuardDuty.1] GuardDuty doit être activé

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés

• [GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée

• [GuardDuty.6] La protection GuardDuty Lambda doit être activée

• [GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [GuardDuty.10] La protection GuardDuty S3 doit être activée

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.2] Les flux Kinesis doivent être balisés

• [Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

• [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge

• [Lambda.3] Les fonctions Lambda doivent être dans un VPC

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Lambda.6] Les fonctions Lambda doivent être étiquetées

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés

• [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.10] IAM l'authentification doit être configurée pour les instances RDS

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.25] les instances RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.28] Les clusters de RDS base de données doivent être balisés

• [RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés

• [RDS.30] Les RDS instances de base de données doivent être étiquetées

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.32] Les instantanés de RDS base de données doivent être balisés

• [RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.11] Les clusters Redshift doivent être balisés

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Redshift.13] Les instantanés du cluster Redshift doivent être balisés

• [Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés

• [Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

• [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

• [SecretsManager.5] Les secrets de Secrets Manager doivent être balisés

• [ServiceCatalog.1] Les portefeuilles de Service Catalog doivent être partagés au sein d'un AWS organisation uniquement

• [SNS.3] SNS les sujets doivent être balisés

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [StepFunctions.2] Les activités de Step Functions doivent être étiquetées

• [Transfer.1] AWS Transfer Family les flux de travail doivent être balisés

• [Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser de FTP protocole pour la connexion des terminaux

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

Europe (Francfort)

Les contrôles suivants ne sont pas pris en charge en Europe (Francfort).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Europe (Irlande)

Les contrôles suivants ne sont pas pris en charge en Europe (Irlande).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Europe (Londres)

Les contrôles suivants ne sont pas pris en charge en Europe (Londres).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

Europe (Milan)

Les contrôles suivants ne sont pas pris en charge en Europe (Milan).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.12] les ECS clusters doivent utiliser Container Insights

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.4] les instantanés RDS du cluster et les instantanés de base de données doivent être chiffrés au repos

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Europe (Paris)

Les contrôles suivants ne sont pas pris en charge en Europe (Paris).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Europe (Espagne)

Les contrôles suivants ne sont pas pris en charge en Europe (Espagne).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.4] La journalisation des groupes de travail Athena doit être activée

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

• [CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

• [DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement

• [EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

• [EC2.7] le chiffrement EBS par défaut doit être activé

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

• [ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée

• [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [KMS4] AWS KMS la rotation des touches doit être activée

• [Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

• [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge

• [Lambda.3] Les fonctions Lambda doivent être dans un VPC

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.2] Les RDS instances de base de données doivent interdire l'accès public, comme déterminé par le PubliclyAccessible AWS Config durée

• [RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

• [RDS.4] les instantanés RDS du cluster et les instantanés de base de données doivent être chiffrés au repos

• [RDS.5] Les RDS instances de base de données doivent être configurées avec plusieurs zones de disponibilité

• [RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée

• [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch

• [RDS.10] IAM l'authentification doit être configurée pour les instances RDS

• [RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

• [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

• [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

• [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

• [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Europe (Stockholm)

Les contrôles suivants ne sont pas pris en charge en Europe (Stockholm).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Europe (Zurich)

Les contrôles suivants ne sont pas pris en charge en Europe (Zurich).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.4] La journalisation des groupes de travail Athena doit être activée

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

• [CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

• [DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

• [RDS.5] Les RDS instances de base de données doivent être configurées avec plusieurs zones de disponibilité

• [RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Israël (Tel Aviv)

Les contrôles suivants ne sont pas pris en charge en Israël (Tel Aviv).

• [ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.4] La journalisation des groupes de travail Athena doit être activée

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [DataSync.1] la journalisation DataSync des tâches doit être activée

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

• [EC2.10] Amazon EC2 doit être configuré pour utiliser les VPC points de terminaison créés pour le service Amazon EC2

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public

• [EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés

• [EKS.6] les EKS clusters doivent être balisés

• [EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées

• [EKS.8] la journalisation des audits doit être activée sur les EKS clusters

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

• [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

• [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de réplication ElastiCache (RedisOSS)

• [ElastiCache.4] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés au repos

• [ElastiCache.5] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés en transit

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [GuardDuty.1] GuardDuty doit être activé

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.7] Les politiques de mot de passe pour les IAM utilisateurs doivent être configurées de manière stricte

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.10] Les politiques relatives aux mots de passe pour IAM les utilisateurs doivent être strictes AWS Config durées

• [IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule

• [IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule

• [IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole

• [IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre

• [IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

• [IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

• [IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [Kinesis.2] Les flux Kinesis doivent être balisés

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.4] les instantanés RDS du cluster et les instantanés de base de données doivent être chiffrés au repos

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut

• [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

• [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [ServiceCatalog.1] Les portefeuilles de Service Catalog doivent être partagés au sein d'un AWS organisation uniquement

• [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

• [SSM.4] SSM les documents ne doivent pas être publics

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [StepFunctions.2] Les activités de Step Functions doivent être étiquetées

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Moyen-Orient (Bahreïn)

Les contrôles suivants ne sont pas pris en charge au Moyen-Orient (Bahreïn).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [GuardDuty.1] GuardDuty doit être activé

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Moyen-Orient (UAE)

Les contrôles suivants ne sont pas pris en charge au Moyen-Orient (UAE).

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé

• [Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

• [CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

• [DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.51] La journalisation des connexions EC2 client doit être VPN activée sur les points de terminaison clients

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

• [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

• [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

• [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de réplication ElastiCache (RedisOSS)

• [ElastiCache.4] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés au repos

• [ElastiCache.5] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés en transit

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

• [IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

• [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

• [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

• [IAM.19] MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

• [Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

• [Inspector.2] La ECR numérisation Amazon Inspector doit être activée

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] les politiques gérées par IAM le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] IAM les principaux ne devraient pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS

• [KMS4] AWS KMS la rotation des touches doit être activée

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [RDS.1] L'RDSinstantané doit être privé

• [RDS.2] Les RDS instances de base de données doivent interdire l'accès public, comme déterminé par le PubliclyAccessible AWS Config durée

• [RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

• [RDS.5] Les RDS instances de base de données doivent être configurées avec plusieurs zones de disponibilité

• [RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données

• [RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée

• [RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

• [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

• [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

• [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS

• [SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

Amérique du Sud (São Paulo)

Les contrôles suivants ne sont pas pris en charge en Amérique du Sud (São Paulo).

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [ECR.4] les référentiels ECR publics doivent être balisés

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [RDS.7] la protection contre la suppression des RDS clusters doit être activée

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

AWS GovCloud (USA Est)

Les commandes suivantes ne sont pas prises en charge dans AWS GovCloud (USA Est).

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [ACM.3] ACM les certificats doivent être étiquetés

• [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync4] AWS AppSync GraphQL APIs doit être balisé

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.2] Les catalogues de données Athena doivent être balisés

• [Athena.3] Les groupes de travail Athena doivent être balisés

• [AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité

• [AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)

• [AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité

• [AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon

• [AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.9] les CloudTrail sentiers doivent être balisés

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.5] Les tables DynamoDB doivent être balisées

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

• [EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.35] les interfaces EC2 réseau doivent être étiquetées

• [EC2.36] les passerelles EC2 client doivent être étiquetées

• [EC2.37] Les adresses IP EC2 élastiques doivent être balisées

• [EC2.38] les EC2 instances doivent être étiquetées

• [EC2.39] les passerelles EC2 Internet doivent être étiquetées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.41] le EC2 réseau ACLs doit être étiqueté

• [EC2.42] les tables de EC2 routage doivent être balisées

• [EC2.43] les groupes EC2 de sécurité doivent être balisés

• [EC2.44] les EC2 sous-réseaux doivent être balisés

• [EC2.45] les EC2 volumes doivent être balisés

• [EC2.46] Amazon VPCs doit être tagué

• [EC2.47] Les services Amazon VPC Endpoint doivent être balisés

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées

• [EC2.50] les EC2 VPN passerelles doivent être étiquetées

• [EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.3] les définitions de ECS tâches ne doivent pas partager l'espace de noms de processus de l'hôte

• [ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés

• [ECS.5] les ECS conteneurs doivent être limités à l'accès en lecture seule aux systèmes de fichiers racine

• [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

• [ECS.12] les ECS clusters doivent utiliser Container Insights

• [ECS.13] les ECS services doivent être étiquetés

• [ECS.14] les ECS clusters doivent être balisés

• [ECS.15] les définitions de ECS tâches doivent être balisées

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EFS.5] les points EFS d'accès doivent être étiquetés

• [EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [EKS.6] les EKS clusters doivent être balisés

• [EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées

• [EKS.8] la journalisation des audits doit être activée sur les EKS clusters

• [ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.8] Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie qui repose sur AWS Config durée

• [ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité

• [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

• [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de réplication ElastiCache (RedisOSS)

• [ElastiCache.4] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés au repos

• [ElastiCache.5] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés en transit

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [ES.9] Les domaines Elasticsearch doivent être balisés

• [EventBridge.2] les bus EventBridge d'événements doivent être étiquetés

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos

• [GuardDuty.1] GuardDuty doit être activé

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés

• [GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

• [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [Kinesis.2] Les flux Kinesis doivent être balisés

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Lambda.6] Les fonctions Lambda doivent être étiquetées

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés

• [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• [PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.25] les instances RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.28] Les clusters de RDS base de données doivent être balisés

• [RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés

• [RDS.30] Les RDS instances de base de données doivent être étiquetées

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.32] Les instantanés de RDS base de données doivent être balisés

• [RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut

• [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.11] Les clusters Redshift doivent être balisés

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Redshift.13] Les instantanés du cluster Redshift doivent être balisés

• [Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie

• [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général

• [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général

• [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

• [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

• [SecretsManager.5] Les secrets de Secrets Manager doivent être balisés

• [SNS.3] SNS les sujets doivent être balisés

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.4] SSM les documents ne doivent pas être publics

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [StepFunctions.2] Les activités de Step Functions doivent être étiquetées

• [Transfer.1] AWS Transfer Family les flux de travail doivent être balisés

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées

• [WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos

• [WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos

AWS GovCloud (US-Ouest)

Les commandes suivantes ne sont pas prises en charge dans AWS GovCloud (Ouest des États-Unis).

• [ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

• [ACM.3] ACM les certificats doivent être étiquetés

• [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

• [Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization

• [APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

• [APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

• [APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

• [APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée

• [AppSync4] AWS AppSync GraphQL APIs doit être balisé

• [AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

• [Athena.2] Les catalogues de données Athena doivent être balisés

• [Athena.3] Les groupes de travail Athena doivent être balisés

• [AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité

• [AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)

• [AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité

• [AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon

• [AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés

• [Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés

• [Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés

• [Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés

• [CloudFormation.2] les CloudFormation piles doivent être étiquetées

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] les CloudFront distributions auraient dû activer WAF

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés

• [CloudFront.8] les CloudFront distributions devraient être utilisées SNI pour répondre aux demandes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine

• [CloudFront.14] les CloudFront distributions doivent être étiquetées

• [CloudTrail.9] les CloudTrail sentiers doivent être balisés

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées

• [CodeArtifact.1] les CodeArtifact référentiels doivent être balisés

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisation AWS Config durée

• [Detective.1] Les graphes de comportement des détectives doivent être balisés

• [DMS.2] DMS les certificats doivent être étiquetés

• [DMS.3] les abonnements aux DMS événements doivent être étiquetés

• [DMS.4] les instances DMS de réplication doivent être étiquetées

• [DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés

• [DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

• [DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

• [DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

• [DMS.9] les DMS points de terminaison doivent utiliser SSL

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

• [DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.5] Les tables DynamoDB doivent être balisées

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

• [EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

• [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter VPC automatiquement les demandes de pièces jointes

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde

• [EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées

• [EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées

• [EC2.35] les interfaces EC2 réseau doivent être étiquetées

• [EC2.36] les passerelles EC2 client doivent être étiquetées

• [EC2.37] Les adresses IP EC2 élastiques doivent être balisées

• [EC2.38] les EC2 instances doivent être étiquetées

• [EC2.39] les passerelles EC2 Internet doivent être étiquetées

• [EC2.40] les EC2 NAT passerelles doivent être étiquetées

• [EC2.41] le EC2 réseau ACLs doit être étiqueté

• [EC2.42] les tables de EC2 routage doivent être balisées

• [EC2.43] les groupes EC2 de sécurité doivent être balisés

• [EC2.44] les EC2 sous-réseaux doivent être balisés

• [EC2.45] les EC2 volumes doivent être balisés

• [EC2.46] Amazon VPCs doit être tagué

• [EC2.47] Les services Amazon VPC Endpoint doivent être balisés

• [EC2.48] Les journaux de VPC flux Amazon doivent être balisés

• [EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées

• [EC2.50] les EC2 VPN passerelles doivent être étiquetées

• [EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées

• [ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

• [ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés

• [ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée

• [ECR.4] les référentiels ECR publics doivent être balisés

• [ECS.1] Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés.

• [ECS.3] les définitions de ECS tâches ne doivent pas partager l'espace de noms de processus de l'hôte

• [ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés

• [ECS.5] les ECS conteneurs doivent être limités à l'accès en lecture seule aux systèmes de fichiers racine

• [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

• [ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation

• [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

• [ECS.12] les ECS clusters doivent utiliser Container Insights

• [ECS.13] les ECS services doivent être étiquetés

• [ECS.14] les ECS clusters doivent être balisés

• [ECS.15] les définitions de ECS tâches doivent être balisées

• [EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde

• [EFS.3] les points EFS d'accès doivent appliquer un répertoire racine

• [EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

• [EFS.5] les points EFS d'accès doivent être étiquetés

• [EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public

• [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

• [EKS.6] les EKS clusters doivent être balisés

• [EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées

• [EKS.8] la journalisation des audits doit être activée sur les EKS clusters

• [ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité

• [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge des applications doivent être associés à un AWS WAF web ACL

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (RedisOSS) doivent être activées

• [ElastiCache.2] Les mises à niveau automatiques des versions mineures des clusters ElastiCache (RedisOSS) devraient être activées

• [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de réplication ElastiCache (RedisOSS)

• [ElastiCache.4] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés au repos

• [ElastiCache.5] Les groupes de réplication ElastiCache (RedisOSS) doivent être chiffrés en transit

• [ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

• [ElastiCache.7] Les clusters ElastiCache (RedisOSS) ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

• [EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [ES.9] Les domaines Elasticsearch doivent être balisés

• [EventBridge.2] les bus EventBridge d'événements doivent être étiquetés

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour les systèmes de ZFS fichiers ouverts doit être configuré pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés

• [Colle.1] AWS Glue les emplois doivent être étiquetés

• [GuardDuty.2] GuardDuty les filtres doivent être balisés

• [GuardDuty.3] GuardDuty IPSets doit être étiqueté

• [GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés

• [GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée

• [GuardDuty.9] GuardDuty RDS La protection doit être activée

• [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

• [IAM.9] MFA doit être activé pour l'utilisateur root

• [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

• [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés

• [IAM.24] IAM les rôles doivent être balisés

• [IAM.25] IAM les utilisateurs doivent être tagués

• [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

• [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

• [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés

• [IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées

• [IoT.3] AWS IoT Core les dimensions doivent être étiquetées

• [IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés

• [IoT.5] AWS IoT Core les alias de rôle doivent être balisés

• [IoT.6] AWS IoT Core les politiques doivent être étiquetées

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [Kinesis.2] Les flux Kinesis doivent être balisés

• [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

• [Lambda.6] Les fonctions Lambda doivent être étiquetées

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.4] Les courtiers Amazon MQ doivent être étiquetés

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

• [MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés

• [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées

• [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.9] doivent être balisés

• [PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée

• [RDS.12] IAM l'authentification doit être configurée pour les clusters RDS

• [RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

• [RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de RDS base de données doivent être configurés pour plusieurs zones de disponibilité

• [RDS.24] Les clusters RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.25] les instances RDS de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos

• [RDS.28] Les clusters de RDS base de données doivent être balisés

• [RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés

• [RDS.30] Les RDS instances de base de données doivent être étiquetées

• [RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés

• [RDS.32] Les instantanés de RDS base de données doivent être balisés

• [RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés

• [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de RDS base de données doit être activée

• [Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC

• [Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut

• [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [Redshift.11] Les clusters Redshift doivent être balisés

• [Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés

• [Redshift.13] Les instantanés du cluster Redshift doivent être balisés

• [Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés

• [Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés

• [Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie

• [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général

• [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général

• [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SES.1] les listes de SES contacts doivent être étiquetées

• [SES.2] les ensembles SES de configuration doivent être balisés

• [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

• [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

• [SecretsManager.5] Les secrets de Secrets Manager doivent être balisés

• [SNS.3] SNS les sujets doivent être balisés

• [SQS.2] les SQS files d'attente doivent être étiquetées

• [SSM.4] SSM les documents ne doivent pas être publics

• [StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

• [StepFunctions.2] Les activités de Step Functions doivent être étiquetées

• [Transfer.1] AWS Transfer Family les flux de travail doivent être balisés

• [WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée

• [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition

• [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

• [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition

• [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

• [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée

• [WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées