Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Batas regional pada kontrol Security Hub
Kebanyakan AWS Kontrol Security Hub hanya tersedia di pilih Wilayah AWS. Halaman ini menunjukkan kontrol mana yang tidak tersedia di setiap Wilayah. Kontrol tidak akan muncul di daftar kontrol di konsol Security Hub jika tidak tersedia di Wilayah tempat Anda masuk. Pengecualiannya adalah jika Anda masuk ke Wilayah agregasi. Dalam hal ini, Anda dapat melihat kontrol yang tersedia di Wilayah agregasi atau di satu atau beberapa Wilayah tertaut.
Daftar Isi
- AS Timur (Virginia Utara)
- AS Timur (Ohio)
- AS Barat (California Utara)
- AS Barat (Oregon)
- Afrika (Cape Town)
- Asia Pasifik (Hong Kong)
- Asia Pasifik (Hyderabad)
- Asia Pasifik (Jakarta)
- Asia Pasifik (Mumbai)
- Asia Pasifik (Melbourne)
- Asia Pasifik (Osaka)
- Asia Pasifik (Seoul)
- Asia Pasifik (Singapura)
- Asia Pasifik (Sydney)
- Asia Pasifik (Tokyo)
- Kanada (Pusat)
- Tiongkok (Beijing)
- Tiongkok (Ningxia)
- Eropa (Frankfurt)
- Eropa (Irlandia)
- Eropa (London)
- Eropa (Milan)
- Eropa (Paris)
- Eropa (Spanyol)
- Eropa (Stockholm)
- Eropa (Zürich)
- Israel (Tel Aviv)
- Timur Tengah (Bahrain)
- Timur Tengah (UAE)
- Amerika Selatan (Sao Paulo)
- AWS GovCloud (AS-Timur)
- AWS GovCloud (AS-Barat)
AS Timur (Virginia Utara)
Kontrol berikut tidak didukung di US East (Virginia N.).
-
[ElastiCache.4] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat istirahat
-
[ElastiCache.5] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat transit
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
AS Timur (Ohio)
Kontrol berikut tidak didukung di US East (Ohio).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
AS Barat (California Utara)
Kontrol berikut tidak didukung di AS Barat (California Utara).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
AS Barat (Oregon)
Kontrol berikut tidak didukung di US West (Oregon).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Afrika (Cape Town)
Kontrol berikut tidak didukung di Afrika (Cape Town).
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Asia Pasifik (Hong Kong)
Kontrol berikut tidak didukung di Asia Pasifik (Hong Kong).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Hyderabad)
Kontrol berikut tidak didukung di Asia Pasifik (Hyderabad).
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.5] Pencatatan Aplikasi dan Classic Load Balancer harus diaktifkan
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
-
[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Jakarta)
Kontrol berikut tidak didukung di Asia Pasifik (Jakarta).
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.1] API Gateway REST dan logging WebSocket API eksekusi harus diaktifkan
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host
-
[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa
-
[ECS.5] ECS wadah harus dibatasi pada akses hanya-baca ke sistem file root
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[Lem. 3] AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalam AWS organisasi saja
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Mumbai)
Kontrol berikut tidak didukung di Asia Pasifik (Mumbai).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Asia Pasifik (Melbourne)
Kontrol berikut tidak didukung di Asia Pasifik (Melbourne).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.1] EBS Cuplikan Amazon tidak boleh dipulihkan secara publik
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.2] Kluster ElastiCache (RedisOSS) harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] Grup replikasi ElastiCache (RedisOSS) harus mengaktifkan failover otomatis
-
[ElastiCache.4] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat istirahat
-
[ElastiCache.5] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat transit
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk IAM pengguna harus kuat AWS Config urasi
-
[IAM.11] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan IAM kata sandi membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan IAM kata sandi kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Osaka)
Kontrol berikut tidak didukung di Asia Pasifik (Osaka).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.1] API Gateway REST dan logging WebSocket API eksekusi harus diaktifkan
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.1] EBS Cuplikan Amazon tidak boleh dipulihkan secara publik
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host
-
[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan atau penghentian HTTPS TLS
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http
-
[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
-
[ELB.9] Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[RDS.4] snapshot RDS cluster dan snapshot database harus dienkripsi saat istirahat
-
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock
-
[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Asia Pasifik (Seoul)
Kontrol berikut tidak didukung di Asia Pasifik (Seoul).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Asia Pasifik (Singapura)
Kontrol berikut tidak didukung di Asia Pasifik (Singapura).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Asia Pasifik (Sydney)
Kontrol berikut tidak didukung di Asia Pasifik (Sydney).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Asia Pasifik (Tokyo)
Kontrol berikut tidak didukung di Asia Pasifik (Tokyo).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Kanada (Pusat)
Kontrol berikut tidak didukung di Kanada (Tengah).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Tiongkok (Beijing)
Kontrol berikut tidak didukung di China (Beijing).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[EFS.6] target EFS pemasangan tidak boleh dikaitkan dengan subnet publik
-
[EKS.3] EKS cluster harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik EMR blok Amazon harus diaktifkan
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[GuardDuty.5] Pemantauan Log GuardDuty EKS Audit harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag
-
[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1] AWS Private CA otoritas sertifikat root harus dinonaktifkan
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.16] Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.25] instance RDS database harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek
-
[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam beberapa hari tertentu
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalam AWS organisasi saja
-
[Transfer.1] AWS Transfer Family alur kerja harus diberi tag
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan FTP protokol untuk koneksi titik akhir
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Tiongkok (Ningxia)
Kontrol berikut tidak didukung di China (Ningxia).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[EFS.6] target EFS pemasangan tidak boleh dikaitkan dengan subnet publik
-
[EKS.3] EKS cluster harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik EMR blok Amazon harus diaktifkan
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[Lem. 3] AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[GuardDuty.5] Pemantauan Log GuardDuty EKS Audit harus diaktifkan
-
[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag
-
[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1] AWS Private CA otoritas sertifikat root harus dinonaktifkan
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.25] instance RDS database harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam beberapa hari tertentu
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalam AWS organisasi saja
-
[Transfer.1] AWS Transfer Family alur kerja harus diberi tag
-
[Transfer.2] Server Transfer Family tidak boleh menggunakan FTP protokol untuk koneksi titik akhir
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Eropa (Frankfurt)
Kontrol berikut tidak didukung di Eropa (Frankfurt).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Eropa (Irlandia)
Kontrol berikut tidak didukung di Eropa (Irlandia).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Eropa (London)
Kontrol berikut tidak didukung di Eropa (London).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Eropa (Milan)
Kontrol berikut tidak didukung di Eropa (Milan).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[RDS.4] snapshot RDS cluster dan snapshot database harus dienkripsi saat istirahat
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Paris)
Kontrol berikut tidak didukung di Eropa (Paris).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Spanyol)
Kontrol berikut tidak didukung di Eropa (Spanyol).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
-
[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.1] EBS Cuplikan Amazon tidak boleh dipulihkan secara publik
-
[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan atau penghentian HTTPS TLS
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http
-
[ELB.5] Pencatatan Aplikasi dan Classic Load Balancer harus diaktifkan
-
[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
-
[ELB.9] Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
-
[RDS.4] snapshot RDS cluster dan snapshot database harus dienkripsi saat istirahat
-
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
-
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS
-
[RDS.11] RDS instance harus mengaktifkan pencadangan otomatis
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL
-
[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
-
[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server
-
[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock
-
[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Stockholm)
Kontrol berikut tidak didukung di Eropa (Stockholm).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Eropa (Zürich)
Kontrol berikut tidak didukung di Eropa (Zurich).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
-
[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan atau penghentian HTTPS TLS
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http
-
[ELB.9] Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
-
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Israel (Tel Aviv)
Kontrol berikut tidak didukung di Israel (Tel Aviv).
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[EFS.6] target EFS pemasangan tidak boleh dikaitkan dengan subnet publik
-
[EFS.7] sistem EFS file harus mengaktifkan pencadangan otomatis
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[EKS.3] EKS cluster harus menggunakan rahasia Kubernetes terenkripsi
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http
-
[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.2] Kluster ElastiCache (RedisOSS) harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] Grup replikasi ElastiCache (RedisOSS) harus mengaktifkan failover otomatis
-
[ElastiCache.4] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat istirahat
-
[ElastiCache.5] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat transit
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk IAM pengguna harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.10] Kebijakan kata sandi untuk IAM pengguna harus kuat AWS Config urasi
-
[IAM.11] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf besar
-
[IAM.12] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf kecil
-
[IAM.13] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu simbol
-
[IAM.14] Pastikan kebijakan IAM kata sandi membutuhkan setidaknya satu nomor
-
[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih
-
[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi
-
[IAM.17] Pastikan kebijakan IAM kata sandi kedaluwarsa kata sandi dalam waktu 90 hari atau kurang
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[PCA.1] AWS Private CA otoritas sertifikat root harus dinonaktifkan
-
[RDS.4] snapshot RDS cluster dan snapshot database harus dienkripsi saat istirahat
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik
-
[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik
-
[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalam AWS organisasi saja
-
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.12] AWS WAF aturan harus mengaktifkan CloudWatch metrik
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Timur Tengah (Bahrain)
Kontrol berikut tidak didukung di Timur Tengah (Bahrain).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Timur Tengah (UAE)
Kontrol berikut tidak didukung di Timur Tengah (UAE).
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat
-
[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM
-
[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi
-
[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22
-
[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan atau penghentian HTTPS TLS
-
[ELB.9] Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.2] Kluster ElastiCache (RedisOSS) harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] Grup replikasi ElastiCache (RedisOSS) harus mengaktifkan failover otomatis
-
[ElastiCache.4] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat istirahat
-
[ElastiCache.5] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat transit
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh
-
[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan
-
[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus
-
[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support
-
[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess
-
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2
-
[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal
-
[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus
-
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
-
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
-
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.11] RDS instance harus mengaktifkan pencadangan otomatis
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik
-
[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik
-
[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL
-
[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
Amerika Selatan (Sao Paulo)
Kontrol berikut tidak didukung di Amerika Selatan (São Paulo).
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
AWS GovCloud (AS-Timur)
Kontrol berikut tidak didukung di AWS GovCloud (AS-Timur).
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host
-
[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa
-
[ECS.5] ECS wadah harus dibatasi pada akses hanya-baca ke sistem file root
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.2] Kluster ElastiCache (RedisOSS) harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] Grup replikasi ElastiCache (RedisOSS) harus mengaktifkan failover otomatis
-
[ElastiCache.4] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat istirahat
-
[ElastiCache.5] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat transit
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik EMR blok Amazon harus diaktifkan
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[Lem. 3] AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag
-
[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[PCA.1] AWS Private CA otoritas sertifikat root harus dinonaktifkan
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.25] instance RDS database harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.20] Bucket tujuan umum S3 seharusnya telah mengaktifkan penghapusan MFA
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam beberapa hari tertentu
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.1] AWS Transfer Family alur kerja harus diberi tag
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.12] AWS WAF aturan harus mengaktifkan CloudWatch metrik
-
[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat
-
[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat
AWS GovCloud (AS-Barat)
Kontrol berikut tidak didukung di AWS GovCloud (AS-Barat).
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
-
[Akun.2] Akun AWS harus menjadi bagian dari AWS Organizations organisasi
-
[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan
-
[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API
-
[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
-
[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi
-
[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan
-
[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi
-
[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging
-
[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF
-
[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS
-
[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS
-
[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus
-
[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada
-
[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal
-
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
-
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil
-
[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis
-
[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging
-
[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch
-
[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan
-
[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan
-
[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host
-
[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa
-
[ECS.5] ECS wadah harus dibatasi pada akses hanya-baca ke sistem file root
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[ELB.16] Application Load Balancer harus dikaitkan dengan AWS WAF web ACL
-
[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis
-
[ElastiCache.2] Kluster ElastiCache (RedisOSS) harus mengaktifkan peningkatan versi minor otomatis
-
[ElastiCache.3] Grup replikasi ElastiCache (RedisOSS) harus mengaktifkan failover otomatis
-
[ElastiCache.4] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat istirahat
-
[ElastiCache.5] Grup replikasi ElastiCache (RedisOSS) harus dienkripsi saat transit
-
[ElastiCache.7] Cluster ElastiCache (RedisOSS) tidak boleh menggunakan grup subnet default
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch
-
[EMR.2] Pengaturan akses publik EMR blok Amazon harus diaktifkan
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara
-
[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan
-
[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag
-
[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan
-
[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root
-
[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan
-
[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan
-
[IoT.1] AWS IoT Device Defender profil keamanan harus ditandai
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan
-
[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MSK.2] MSK cluster harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[Neptune.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone
-
[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag
-
[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai
-
[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[PCA.1] AWS Private CA otoritas sertifikat root harus dinonaktifkan
-
[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS
-
[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan
-
[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus
-
[RDS.25] instance RDS database harus menggunakan nama pengguna administrator khusus
-
[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan
-
[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch
-
[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
-
[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup
-
[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara
-
[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.20] Bucket tujuan umum S3 seharusnya telah mengaktifkan penghapusan MFA
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam beberapa hari tertentu
-
[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging
-
[Transfer.1] AWS Transfer Family alur kerja harus diberi tag
-
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
-
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
-
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
-
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
-
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.12] AWS WAF aturan harus mengaktifkan CloudWatch metrik