Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Limites régionales relatives aux contrôles du Security Hub
La plupart des commandes du AWS Security Hub ne sont disponibles que dans certains cas Régions AWS. Cette page indique quels contrôles ne sont pas disponibles dans chaque région. Aucun contrôle n'apparaît dans la liste des contrôles de la console Security Hub s'il n'est pas disponible dans la région à laquelle vous êtes connecté. L'exception est si vous êtes connecté à une région d'agrégation. Dans ce cas, vous pouvez voir les contrôles disponibles dans la région d'agrégation ou dans une ou plusieurs régions liées.
Table des matières
- USA Est (Virginie du Nord)
- USA Est (Ohio)
- USA Ouest (Californie du Nord)
- USA Ouest (Oregon)
- Afrique (Le Cap)
- Asie-Pacifique (Hong Kong)
- Asie-Pacifique (Hyderabad)
- Asie-Pacifique (Jakarta)
- Asie-Pacifique (Mumbai)
- Asie-Pacifique (Melbourne)
- Asie-Pacifique (Osaka)
- Asie-Pacifique (Séoul)
- Asie-Pacifique (Singapour)
- Asie-Pacifique (Sydney)
- Asie-Pacifique (Tokyo)
- Canada (Centre)
- Chine (Beijing)
- Chine (Ningxia)
- Europe (Francfort)
- Europe (Irlande)
- Europe (Londres)
- Europe (Milan)
- Europe (Paris)
- Europe (Espagne)
- Europe (Stockholm)
- Europe (Zurich)
- Israël (Tel Aviv)
- Moyen-Orient (Bahreïn)
- Moyen-Orient (UAE)
- Amérique du Sud (São Paulo)
- AWS GovCloud (USA Est)
- AWS GovCloud (US-Ouest)
USA Est (Virginie du Nord)
Les contrôles suivants ne sont pas pris en charge dans l'est des États-Unis (Virginie du Nord).
USA Est (Ohio)
Les contrôles suivants ne sont pas pris en charge dans l'est des États-Unis (Ohio).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
USA Ouest (Californie du Nord)
Les contrôles suivants ne sont pas pris en charge dans l'ouest des États-Unis (Californie du Nord).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
USA Ouest (Oregon)
Les contrôles suivants ne sont pas pris en charge dans l'ouest des États-Unis (Oregon).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Afrique (Le Cap)
Les contrôles suivants ne sont pas pris en charge en Afrique (Cape Town).
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
Asie-Pacifique (Hong Kong)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Hong Kong).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Hyderabad)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Hyderabad).
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Jakarta)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Jakarta).
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.2] AWS Glue la journalisation des tâches doit être activée
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Mumbai)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Mumbai).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Melbourne)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Melbourne).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Osaka)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Osaka).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Asie-Pacifique (Séoul)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Séoul).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Singapour)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Singapour).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Sydney)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Sydney).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Asie-Pacifique (Tokyo)
Les contrôles suivants ne sont pas pris en charge en Asie-Pacifique (Tokyo).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Canada (Centre)
Les contrôles suivants ne sont pas pris en charge au Canada (Centre).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Chine (Beijing)
Les contrôles suivants ne sont pas pris en charge en Chine (Pékin).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.1] AWS Transfer Family les flux de travail doivent être balisés
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Chine (Ningxia)
Les contrôles suivants ne sont pas pris en charge en Chine (Ningxia).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
-
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.1] AWS Transfer Family les flux de travail doivent être balisés
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
Europe (Francfort)
Les contrôles suivants ne sont pas pris en charge en Europe (Francfort).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Irlande)
Les contrôles suivants ne sont pas pris en charge en Europe (Irlande).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Londres)
Les contrôles suivants ne sont pas pris en charge en Europe (Londres).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
Europe (Milan)
Les contrôles suivants ne sont pas pris en charge en Europe (Milan).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Paris)
Les contrôles suivants ne sont pas pris en charge en Europe (Paris).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Espagne)
Les contrôles suivants ne sont pas pris en charge en Europe (Espagne).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Stockholm)
Les contrôles suivants ne sont pas pris en charge en Europe (Stockholm).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Europe (Zurich)
Les contrôles suivants ne sont pas pris en charge en Europe (Zurich).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Israël (Tel Aviv)
Les contrôles suivants ne sont pas pris en charge en Israël (Tel Aviv).
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.4] La journalisation des groupes de travail Athena doit être activée
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[DataSync.1] la journalisation DataSync des tâches doit être activée
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
-
[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
-
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Moyen-Orient (Bahreïn)
Les contrôles suivants ne sont pas pris en charge au Moyen-Orient (Bahreïn).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Moyen-Orient (UAE)
Les contrôles suivants ne sont pas pris en charge au Moyen-Orient (UAE).
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités
-
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
-
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
-
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
-
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
-
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
Amérique du Sud (São Paulo)
Les contrôles suivants ne sont pas pris en charge en Amérique du Sud (São Paulo).
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
AWS GovCloud (USA Est)
Les contrôles suivants ne sont pas pris en charge dans AWS GovCloud (USA Est).
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.1] AWS Transfer Family les flux de travail doivent être balisés
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées
-
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
-
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos
AWS GovCloud (US-Ouest)
Les contrôles suivants ne sont pas pris en charge dans AWS GovCloud l'ouest des États-Unis.
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Compte.2] Comptes AWS devrait faire partie d'un AWS Organizations organization
-
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
-
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être balisés
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Sauvegarde.2] AWS Backup les points de récupération doivent être étiquetés
-
[Sauvegarde.3] AWS Backup les coffres-forts doivent être étiquetés
-
[Sauvegarde.4] AWS Backup les plans de rapport doivent être étiquetés
-
[Sauvegarde.5] AWS Backup les plans de sauvegarde doivent être étiquetés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[CloudFront.14] les CloudFront distributions doivent être étiquetées
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
-
[DMS.4] les instances DMS de réplication doivent être étiquetées
-
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
-
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
-
[EC2.28] les EBS volumes doivent être couverts par un plan de sauvegarde
-
[EC2.33] les pièces jointes aux passerelles de EC2 transit doivent être étiquetées
-
[EC2.34] les tables de routage des passerelles de EC2 transit doivent être balisées
-
[EC2.37] Les adresses IP EC2 élastiques doivent être balisées
-
[EC2.39] les passerelles EC2 Internet doivent être étiquetées
-
[EC2.47] Les services Amazon VPC Endpoint doivent être balisés
-
[EC2.48] Les journaux de VPC flux Amazon doivent être balisés
-
[EC2.49] Les connexions de VPC peering Amazon doivent être étiquetées
-
[EC2.52] les passerelles de EC2 transport en commun devraient être étiquetées
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[ECS.15] les définitions de ECS tâches doivent être balisées
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[EKS.7] les configurations du fournisseur EKS d'identité doivent être étiquetées
-
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
-
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
-
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.23] Les analyseurs IAM d'Access Analyzer doivent être étiquetés
-
[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé
-
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
-
[IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés
-
[IoT.2] AWS IoT Core les mesures d'atténuation doivent être étiquetées
-
[IoT.4] AWS IoT Core les autorisateurs doivent être étiquetés
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
-
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MSK.2] les MSK clusters doivent avoir une surveillance améliorée configurée
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
-
[RDS.26] Les RDS instances de base de données doivent être protégées par un plan de sauvegarde
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[RDS.28] Les clusters de RDS base de données doivent être balisés
-
[RDS.29] Les instantanés du RDS cluster de base de données doivent être balisés
-
[RDS.30] Les RDS instances de base de données doivent être étiquetées
-
[RDS.31] Les groupes de sécurité RDS de base de données doivent être balisés
-
[RDS.32] Les instantanés de RDS base de données doivent être balisés
-
[RDS.33] Les groupes de RDS sous-réseaux de base de données doivent être balisés
-
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA
-
[SES.2] les ensembles SES de configuration doivent être balisés
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.1] AWS Transfer Family les flux de travail doivent être balisés
-
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
-
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
-
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
-
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
-
[WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée
-
[WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées