Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menonaktifkan kontrol di Security Hub CSPM
<a name="disable-controls-overview"></a>

Untuk mengurangi kebisingan temuan, akan sangat membantu untuk menonaktifkan kontrol yang tidak relevan dengan lingkungan Anda. Di AWS Security Hub CSPM, Anda dapat menonaktifkan kontrol di semua standar keamanan atau hanya untuk standar tertentu. 

Jika Anda menonaktifkan kontrol di semua standar, hal berikut terjadi:
+ Pemeriksaan keamanan untuk kontrol tidak lagi dilakukan.
+ Tidak ada temuan tambahan yang dihasilkan untuk kontrol.
+ Temuan yang ada tidak lagi diperbarui untuk kontrol.
+ Temuan yang ada untuk kontrol diarsipkan secara otomatis, biasanya dalam 3-5 hari dengan upaya terbaik.
+ Security Hub CSPM menghapus AWS Config aturan terkait yang dibuat untuk kontrol.

Jika Anda menonaktifkan kontrol hanya untuk standar tertentu, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan untuk kontrol hanya untuk standar tersebut. Ini juga menghilangkan kontrol [dari perhitungan skor keamanan](standards-security-score.md) untuk masing-masing standar tersebut. Jika kontrol diaktifkan dalam standar lain, Security Hub CSPM mempertahankan AWS Config aturan terkait, jika berlaku, dan terus menjalankan pemeriksaan keamanan untuk kontrol untuk standar lainnya. Security Hub CSPM juga menyertakan kontrol saat menghitung skor keamanan untuk masing-masing standar lainnya, yang memengaruhi skor keamanan ringkasan Anda.

Jika Anda menonaktifkan standar, semua kontrol yang berlaku untuk standar dinonaktifkan secara otomatis untuk standar itu. Namun, kontrol mungkin terus diaktifkan dalam standar lain. Saat Anda menonaktifkan standar, Security Hub CSPM tidak melacak kontrol mana yang dinonaktifkan untuk standar tersebut. Akibatnya, jika nanti Anda mengaktifkan kembali standar yang sama, semua kontrol yang berlaku padanya diaktifkan secara otomatis. Untuk informasi tentang menonaktifkan standar, lihat. [Menonaktifkan standar](disable-standards.md)

Menonaktifkan kontrol bukanlah tindakan permanen. Misalkan Anda menonaktifkan kontrol, dan kemudian mengaktifkan standar yang mencakup kontrol. Kontrol kemudian diaktifkan untuk standar itu. Ketika Anda mengaktifkan standar di Security Hub CSPM, semua kontrol yang berlaku untuk standar diaktifkan secara otomatis. Untuk informasi tentang mengaktifkan standar, lihat[Mengaktifkan standar](enable-standards.md).

**Topics**
+ [Menonaktifkan kontrol lintas standar](disable-controls-across-standards.md)
+ [Menonaktifkan kontrol dalam standar tertentu](disable-controls-standard.md)
+ [Kontrol yang disarankan untuk menonaktifkan](controls-to-disable.md)

# Menonaktifkan kontrol lintas standar
<a name="disable-controls-across-standards"></a>

Sebaiknya nonaktifkan kontrol CSPM AWS Security Hub di seluruh standar untuk menjaga keselarasan di seluruh organisasi Anda. Jika Anda menonaktifkan kontrol hanya dalam standar tertentu, Anda terus menerima temuan untuk kontrol jika diaktifkan dalam standar lain.

## Penonaktifan lintas standar di beberapa akun dan Wilayah
<a name="disable-controls-all-standards-central-configuration"></a>

Untuk menonaktifkan kontrol keamanan di beberapa Akun AWS dan Wilayah AWS, Anda harus menggunakan [konfigurasi pusat](central-configuration-intro.md).

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang menonaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu OUs,, atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk menonaktifkan semua AWS CloudTrail kontrol dalam satu OU, dan Anda dapat memilih untuk menonaktifkan semua kontrol IAM di OU lain. Tingkat granularitas tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang menonaktifkan kontrol tertentu di seluruh standar, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**catatan**  
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar [yang Dikelola Layanan](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Kontrol untuk standar ini harus dikonfigurasi dalam AWS Control Tower layanan.

Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.

## Penonaktifan lintas standar dalam satu akun dan Wilayah
<a name="disable-controls-all-standards"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menonaktifkan kontrol dalam satu akun dan Wilayah.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Kontrol** dari panel navigasi.

1. Pilih opsi di sebelah kontrol.

1. Pilih **Nonaktifkan Kontrol**. Opsi ini tidak muncul untuk kontrol yang sudah dinonaktifkan.

1. **Pilih alasan untuk menonaktifkan kontrol, dan konfirmasikan dengan memilih Nonaktifkan.**

1. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

------
#### [ Security Hub CSPM API ]

**Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Berikan ID kontrol keamanan.

   **Permintaan contoh:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Berikan ARN dari standar apa pun tempat kontrol diaktifkan. Untuk mendapatkan standar ARNs, jalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, API akan mengembalikan respons kode status HTTP 200.

   **Permintaan contoh:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

------
#### [ AWS CLI ]

**Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah**

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Berikan ID kontrol keamanan.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Berikan ARN dari standar apa pun tempat kontrol diaktifkan. Untuk mendapatkan standar ARNs, jalankan `describe-standards` perintah.

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, perintah akan mengembalikan respons kode status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

------

# Menonaktifkan kontrol dalam standar tertentu
<a name="disable-controls-standard"></a>

Anda dapat menonaktifkan kontrol hanya dalam standar keamanan tertentu, bukan di semua standar. Jika kontrol berlaku untuk standar lain yang diaktifkan, AWS Security Hub CSPM terus menjalankan pemeriksaan keamanan untuk kontrol dan Anda terus menerima temuan untuk kontrol.

Kami merekomendasikan untuk menyelaraskan status pemberdayaan kontrol di semua standar yang diaktifkan yang berlaku untuk kontrol. Untuk informasi tentang menonaktifkan kontrol di semua standar yang berlaku, lihat. [Menonaktifkan kontrol lintas standar](disable-controls-across-standards.md)

Pada halaman detail standar, Anda juga dapat menonaktifkan kontrol dalam standar tertentu. Anda harus menonaktifkan kontrol dalam standar tertentu secara terpisah di masing-masing Akun AWS dan Wilayah AWS. Ketika Anda menonaktifkan kontrol dalam standar tertentu, itu hanya memengaruhi akun saat ini dan Wilayah.

Pilih metode pilihan Anda, dan ikuti langkah-langkah ini untuk menonaktifkan kontrol dalam satu atau lebih standar spesifik.

------
#### [ Security Hub CSPM console ]

**Untuk menonaktifkan kontrol dalam standar tertentu**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Standar keamanan** dari panel navigasi. Pilih **Lihat hasil** untuk standar yang relevan.

1. Pilih kontrol.

1. Pilih **Nonaktifkan Kontrol**. Opsi ini tidak muncul untuk kontrol yang sudah dinonaktifkan.

1. **Berikan alasan untuk menonaktifkan kontrol, dan konfirmasikan dengan memilih Nonaktifkan.**

------
#### [ Security Hub CSPM API ]

**Untuk menonaktifkan kontrol dalam standar tertentu**

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) API ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs

   **Permintaan contoh:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   **Permintaan contoh:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Jalankan `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Berikan ARN standar di mana Anda ingin menonaktifkan kontrol.

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, API akan mengembalikan respons kode status HTTP 200.

   **Permintaan contoh:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Untuk menonaktifkan kontrol dalam standar tertentu**

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` perintah, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. `describe-standards` Perintah ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` perintah, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Jalankan perintah `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Berikan ARN standar di mana Anda ingin menonaktifkan kontrol.

1. Atur `AssociationStatus` parameter sama dengan`DISABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Kontrol yang disarankan untuk dinonaktifkan di CSPM Security Hub
<a name="controls-to-disable"></a>

Sebaiknya nonaktifkan beberapa kontrol CSPM AWS Security Hub untuk mengurangi kebisingan dan biaya penggunaan.

## Kontrol yang menggunakan sumber daya global
<a name="controls-to-disable-global-resources"></a>

Beberapa Layanan AWS mendukung sumber daya global, yang berarti Anda dapat mengakses sumber daya dari mana pun Wilayah AWS. Untuk menghemat biaya AWS Config, Anda dapat menonaktifkan perekaman sumber daya global di semua kecuali satu Wilayah. Namun, setelah Anda melakukan ini, Security Hub CSPM masih menjalankan pemeriksaan keamanan di semua Wilayah di mana kontrol diaktifkan dan menagih Anda berdasarkan jumlah cek per akun per Wilayah. Dengan demikian, untuk mengurangi kebisingan dan menghemat biaya CSPM Security Hub, Anda juga harus menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah yang mencatat sumber daya global.

Jika kontrol melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah, menonaktifkannya di Wilayah tersebut mencegah Anda mendapatkan temuan apa pun untuk sumber daya yang mendasarinya. Dalam hal ini, kami sarankan untuk tetap mengaktifkan kontrol. Saat menggunakan agregasi lintas wilayah, Wilayah di mana kontrol tersedia harus merupakan Wilayah agregasi atau salah satu Wilayah yang ditautkan. Kontrol berikut melibatkan sumber daya global tetapi hanya tersedia di satu Wilayah:
+ **Semua CloudFront kontrol** - Hanya tersedia di Wilayah AS Timur (Virginia N.)
+ **GlobalAccelerator.1** — Hanya tersedia di Wilayah AS Barat (Oregon)
+ **Route53.2** - Hanya tersedia di Wilayah AS Timur (Virginia N.)
+ **WAF.1, WAF.6, WAF.7, WAF.8 - Hanya tersedia di Wilayah** AS Timur (Virginia N.)

**catatan**  
Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal.  
Jika kontrol yang diaktifkan yang melibatkan sumber daya global tidak didukung di Wilayah asal, CSPM Security Hub mencoba mengaktifkan kontrol di satu Wilayah tertaut di mana kontrol didukung. Dengan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan.  
Untuk informasi selengkapnya tentang konfigurasi pusat, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Untuk kontrol yang memiliki jenis jadwal *periodik*, menonaktifkannya di Security Hub CSPM diperlukan untuk mencegah penagihan. Menyetel AWS Config parameter `includeGlobalResourceTypes` ke `false` tidak memengaruhi kontrol CSPM Security Hub berkala.

Kontrol CSPM Security Hub berikut menggunakan sumber daya global:
+ [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)
+ [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)
+ [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)
+ [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)
+ [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)
+ [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)
+ [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)
+ [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)
+ [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)
+ [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)
+ [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10)
+ [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)
+ [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)
+ [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)
+ [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)
+ [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)
+ [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)
+ [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)
+ [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)
+ [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)
+ [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21)
+ [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)
+ [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24)
+ [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)
+ [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1)
+ [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2)
+ [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1)
+ [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6)
+ [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7)
+ [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8)

## CloudTrail kontrol logging
<a name="controls-to-disable-cloudtrail-logging"></a>

Kontrol [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) mengevaluasi penggunaan AWS Key Management Service (AWS KMS) untuk mengenkripsi log jejak AWS CloudTrail . Jika Anda mencatat jejak ini di akun logging terpusat, Anda harus mengaktifkan kontrol ini hanya di akun dan di Wilayah AWS mana pencatatan terpusat terjadi.

Jika Anda menggunakan [konfigurasi pusat](central-configuration-intro.md), status pengaktifan kontrol disejajarkan di seluruh Wilayah beranda dan Wilayah yang ditautkan. Anda tidak dapat menonaktifkan kontrol di beberapa Wilayah dan mengaktifkannya di wilayah lain. Dalam hal ini, Anda dapat menekan temuan dari kontrol CloudTrail .2 untuk mengurangi kebisingan temuan.

## CloudWatch kontrol alarm
<a name="controls-to-disable-cloudwatch-alarms"></a>

Jika Anda lebih suka menggunakan Amazon GuardDuty untuk deteksi anomali daripada CloudWatch alarm Amazon, Anda dapat menonaktifkan kontrol berikut, yang berfokus pada alarm: CloudWatch 
+ [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)