Best practice operative per NIST 800-53 rev 5 - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice operative per NIST 800-53 rev 5

I pacchetti di conformità forniscono un framework di conformità generico progettato per consentire di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando gestiti o personalizzatiAWS Configregole eAWS Configazioni di risanamento. I Conformance Pack, come modelli di esempio, non sono progettati per garantire la conformità completa con uno standard di governance o standard di conformità specifici. L'utente è responsabile di valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornito un esempio di mappatura tra NIST 800-53 eAWSRegole Config gestite. Ogni regola di Config si applica a uno specificoAWSrisorsa e si riferisce a uno o più controlli NIST 800-53. Un controllo NIST 800-53 può essere correlato a più regole di Config. Fare riferimento alla tabella sottostante per ulteriori dettagli e indicazioni relative a queste mappature.

Regione AWS:Tutto supportatoRegioni AWStranne il Medio Oriente (Bahrein)

ID controllo Descrizione del controllo Regola AWS Config Linee guida di
AC-2d.1 d. Specificare: 1. Utenti autorizzati del sistema; interruzione del personale e processi di trasferimento.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2G g. Monitorare l'uso degli account;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2i.2 i. Autorizza l'accesso al sistema in base a: 2. Utilizzo previsto del sistema;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-2i.2 i. Autorizza l'accesso al sistema in base a: 2. Utilizzo previsto del sistema;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2i.2 i. Autorizza l'accesso al sistema in base a: 2. Utilizzo previsto del sistema;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2i.2 i. Autorizza l'accesso al sistema in base a: 2. Utilizzo previsto del sistema;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-2j j Esaminare i conti per la conformità ai requisiti di gestione dell'account [Assegnazione: frequenza definita dall'organizzazione];

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2j j. Esaminare i conti per la conformità ai requisiti di gestione degli account [Assegnazione: frequenza definita dall'organizzazione];

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (1) Support la gestione degli account di sistema utilizzando [Assignment: meccanismi automatizzati definiti dall'organizzazione].

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-2 (1) Support la gestione degli account di sistema utilizzando [Assignment: meccanismi automatizzati definiti dall'organizzazione].

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (1) Support la gestione degli account di sistema utilizzando [Assignment: meccanismi automatizzati definiti dall'organizzazione].

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (1) Support la gestione degli account di sistema utilizzando [Assignment: meccanismi automatizzati definiti dall'organizzazione].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-2(1) Support the management of system accounts using [Assignment: organization-defined automated mechanisms].

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-2(3)(a) Disable accounts within [Assignment: organization-defined time period] when the accounts: (a) Have expired;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-2(3)(a) Disable accounts within [Assignment: organization-defined time period] when the accounts: (a) Have expired;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-2(3)(b) Disable accounts within [Assignment: organization-defined time period] when the accounts: (b) Are no longer associated with a user or individual;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-2(3)(b) Disable accounts within [Assignment: organization-defined time period] when the accounts: (b) Are no longer associated with a user or individual;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-2(3)(c) Disable accounts within [Assignment: organization-defined time period] when the accounts: (c) Are in violation of organizational policy;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-2(3)(c) Disable accounts within [Assignment: organization-defined time period] when the accounts: (c) Are in violation of organizational policy;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-2(3)(d) Disable accounts within [Assignment: organization-defined time period] when the accounts: (d) Have been inactive for [Assignment: organization-defined time period].

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-2(3)(d) Disable accounts within [Assignment: organization-defined time period] when the accounts: (d) Have been inactive for [Assignment: organization-defined time period].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-2(3) Disable accounts within [Assignment: organization-defined time period] when the accounts: (a) Have expired; (b) Are no longer associated with a user or individual; (c) Are in violation of organizational policy; or (d) Have been inactive for [Assignment: organization-defined time period].

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-2(3) (a) Have expired;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail records AWS Management Console actions and API calls. You can identify which users and accounts called AWS, the source IP address from where the calls were made, and when the calls occurred. CloudTrail will deliver log files from all AWS Regions to your S3 bucket if MULTI_REGION_CLOUD_TRAIL_ENABLED is enabled. Additionally, when AWS launches a new Region, CloudTrail will create the same trail in the new Region. As a result, you will receive log files containing API activity for the new Region without taking any action.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

cloud-trail-cloud-watch-logs-enabled

Use Amazon CloudWatch to centrally collect and manage log event activity. Inclusion of AWS CloudTrail data provides details of API call activity within your AWS account.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

cloudtrail-enabled

AWS CloudTrail can help in non-repudiation by recording AWS Management Console actions and API calls. You can identify the users and AWS accounts that called an AWS service, the source IP address where the calls generated, and the timings of the calls. Details of captured data are seen within AWS CloudTrail Record Contents.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

cloudtrail-s3-dataevents-enabled

The collection of Simple Storage Service (Amazon S3) data events helps in detecting any anomalous activity. The details include AWS account information that accessed an Amazon S3 bucket, IP address, and time of event.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

rds-logging-enabled

To help with logging and monitoring within your environment, ensure Amazon Relational Database Service (Amazon RDS) logging is enabled. With Amazon RDS logging, you can capture events such as connections, disconnections, queries, or tables queried.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

redshift-cluster-configuration-check

To protect data at rest, ensure that encryption is enabled for your Amazon Redshift clusters. You must also ensure that required configurations are deployed on Amazon Redshift clusters. The audit logging should be enabled to provide information about connections and user activities in the database. This rule requires that a value is set for clusterDbEncrypted (Config Default : TRUE), and loggingEnabled (Config Default: TRUE). The actual values should reflect your organization's policies.
AC-2(4) Automatically audit account creation, modification, enabling, disabling, and removal actions.

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) server access logging provides a method to monitor the network for potential cybersecurity events. The events are monitored by capturing detailed records for the requests that are made to an Amazon S3 bucket. Each access log record provides details about a single access request. The details include the requester, bucket name, request time, request action, response status, and an error code, if relevant.
AC-2(6) Implement [Assignment: organization-defined dynamic privilege management capabilities].

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-2(6) Implement [Assignment: organization-defined dynamic privilege management capabilities].

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-2 (6) Implementa [Assegnazione: funzionalità di gestione dei privilegi dinamici definite dall'organizzazione].

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-2 (12) (a) (a) Monitorare gli account di sistema per [Assegnazione: uso atipico definito dall'organizzazione]

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ssm-document-non-public

Assicurati che i documenti di AWS Systems Manager (SSM) non siano pubblici, in quanto ciò potrebbe consentire l'accesso non intenzionale ai tuoi documenti SSM. Un documento SSM pubblico può esporre informazioni sul tuo account, sulle risorse e sui processi interni.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

lambda-inside-vpc

Distribuisci le funzioni AWS Lambda in un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
3 Applicare autorizzazioni approvate per l'accesso logico alle informazioni e alle risorse di sistema in conformità con le politiche di controllo degli accessi applicabili.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 (1) Utilizzare una sostituzione controllata dei meccanismi di controllo degli accessi automatizzati in [Assegnazione: condizioni definite dall'organizzazione] da [Assegnazione: ruoli definiti dall'organizzazione].

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AC-3 (2) Applica la doppia autorizzazione per [Assegnazione: comandi privilegiati definiti dall'organizzazione e/o altre azioni definite dall'organizzazione].

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-3 (2) Applica la doppia autorizzazione per [Assegnazione: comandi privilegiati definiti dall'organizzazione e/o altre azioni definite dall'organizzazione].

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 (2) Applica la doppia autorizzazione per [Assegnazione: comandi privilegiati definiti dall'organizzazione e/o altre azioni definite dall'organizzazione].

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (2) Applica la doppia autorizzazione per [Assegnazione: comandi privilegiati definiti dall'organizzazione e/o altre azioni definite dall'organizzazione].

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti in un
AC-3 (3) (a) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove la politica: (a) viene applicata uniformemente tra i soggetti e gli oggetti coperti all'interno del sistema;

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti in un
AC-3 (3) (b) (1) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti trattati specificati nella politica e dove la politica: (b) Specifica che un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (1) Passare le informazioni a soggetti o oggetti non autorizzati;

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti in un
AC-3 (3) (b) (2) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nella politica e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato ad effettuare una delle seguenti operazioni; (2) Concedendo i propri privilegi a altri argomenti;

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti in un
AC-3 (3) (b) (3) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (3) Modifica di una o più sicurezza attributi (specificati dal criterio) su argomenti, oggetti, sistema o componenti di sistema;

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-3 (3) (b) (4) Applicare [Assegnazione: politica di accesso obbligatoria definita dall'organizzazione] sull'insieme di soggetti e oggetti coperti specificati nel criterio e dove il criterio: (b) Specifica che a un soggetto a cui è stato concesso l'accesso alle informazioni è limitato a effettuare una delle seguenti operazioni; (4) Scegliere la sicurezza attributi e valori degli attributi (specificati dal criterio) da associare a oggetti appena creati o modificati;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede l'impostazione di un valore permaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-3(3)(b)(4) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(3)(b)(4) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3)(b)(4) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3)(b)(4) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(3)(b)(4) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(3)(b)(4) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(3)(b)(5) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (5) Changing the rules governing access;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(3)(c) Enforce [Assignment: organization-defined mandatory access policy] over the set of covered subjects and objects specified in the policy, and where the policy: (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(3) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy, and where the policy: (a) Is uniformly enforced across the covered subjects and objects within the system; (b) Specifies that a subject that has been granted access to information is constrained from doing any of the following; (1) Passing the information to unauthorized subjects or objects; (2) Granting its privileges to other subjects; (3) Changing one or more security attributes (specified by the policy) on subjects, objects, the system, or system components; (4) Choosing the security attributes and attribute values (specified by the policy) to be associated with newly created or modified objects; and (5) Changing the rules governing access control; and (c) Specifies that [Assignment: organization-defined subjects] may explicitly be granted [Assignment: organization-defined privileges] such that they are not limited by any defined subset (or all) of the above constraints.

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(4)(a) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(4)(b) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (b) Grant its privileges to other subjects;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(4)(c) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (c) Change security attributes on subjects, objects, the system, or the system’s components;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(4)(d) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (d) Choose the security attributes to be associated with newly created or revised objects;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(4)(e) Enforce [Assignment: organization-defined discretionary access policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (e) Change the rules governing access.

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(4) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy, and where the policy specifies that a subject that has been granted access to information can do one or more of the following: (a) Pass the information to any other subjects or objects; (b) Grant its privileges to other subjects; (c) Change security attributes on subjects, objects, the system, or the system’s components; (d) Choose the security attributes to be associated with newly created or revised objects; or (e) Change the rules governing access control.

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

ec2-instances-in-vpc

Deploy Amazon Elastic Compute Cloud (Amazon EC2) instances within an Amazon Virtual Private Cloud (Amazon VPC) to enable secure communication between an instance and other services within the amazon VPC, without requiring an internet gateway, NAT device, or VPN connection. Tutto il traffico rimane sicuro all'interno del cloud AWS. Because of their logical isolation, domains that reside within an Amazon VPC have an extra layer of security when compared to domains that use public endpoints. Assign Amazon EC2 instances to an Amazon VPC to properly manage access.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

dms-replication-not-public

Manage access to the AWS Cloud by ensuring DMS replication instances cannot be publicly accessed. DMS replication instances can contain sensitive information and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

ebs-snapshot-public-restorable-check

Manage access to the AWS Cloud by ensuring EBS snapshots are not publicly restorable. EBS volume snapshots can contain sensitive information and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

ec2-instance-no-public-ip

Manage access to the AWS Cloud by ensuring Amazon Elastic Compute Cloud (Amazon EC2) instances cannot be publicly accessed. Amazon EC2 instances can contain sensitive information and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

elasticsearch-in-vpc-only

Manage access to the AWS Cloud by ensuring Amazon OpenSearch Service (OpenSearch Service) Domains are within an Amazon Virtual Private Cloud (Amazon VPC). An OpenSearch Service domain within an Amazon VPC enables secure communication between OpenSearch Service and other services within the Amazon VPC without the need for an internet gateway, NAT device, or VPN connection.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

emr-master-no-public-ip

Manage access to the AWS Cloud by ensuring Amazon EMR cluster master nodes cannot be publicly accessed. Amazon EMR cluster master nodes can contain sensitive information and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

lambda-function-public-access-prohibited

Manage access to resources in the AWS Cloud by ensuring AWS Lambda functions cannot be publicly accessed. Public access can potentially lead to degradation of availability of resources.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

lambda-inside-vpc

Deploy AWS Lambda functions within an Amazon Virtual Private Cloud (Amazon VPC) for a secure communication between a function and other services within the Amazon VPC. With this configuration, there is no requirement for an internet gateway, NAT device, or VPN connection. All the traffic remains securely within the AWS Cloud. Because of their logical isolation, domains that reside within an Amazon VPC have an extra layer of security when compared to domains that use public endpoints. To properly manage access, AWS Lambda functions should be assigned to a VPC.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

rds-instance-public-access-check

Manage access to resources in the AWS Cloud by ensuring that Amazon Relational Database Service (Amazon RDS) instances are not public. Amazon RDS database instances can contain sensitive information, and principles and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

rds-snapshots-public-prohibited

Manage access to resources in the AWS Cloud by ensuring that Amazon Relational Database Service (Amazon RDS) instances are not public. Amazon RDS database instances can contain sensitive information and principles and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

redshift-cluster-public-access-check

Manage access to resources in the AWS Cloud by ensuring that Amazon Redshift clusters are not public. Amazon Redshift clusters can contain sensitive information and principles and access control is required for such accounts.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

s3-account-level-public-access-blocks-periodico

Manage access to resources in the AWS Cloud by ensuring that Amazon Simple Storage Service (Amazon S3) buckets cannot be publicly accessed. This rule helps keeping sensitive data safe from unauthorized remote users by preventing public access. This rule allows you to optionally set the ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True), and restrictPublicBuckets parameters (Config Default: True). The actual values should reflect your organization's policies.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

s3-bucket-level-public-access-vietato

Manage access to resources in the AWS Cloud by ensuring that Amazon Simple Storage Service (Amazon S3) buckets cannot be publicly accessed. This rule helps keeping sensitive data safe from unauthorized remote users by preventing public access at the bucket level.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

s3-bucket-public-read-prohibited

Manage access to resources in the AWS Cloud by only allowing authorized users, processes, and devices access to Amazon Simple Storage Service (Amazon S3) buckets. The management of access should be consistent with the classification of the data.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

s3-bucket-public-write-prohibited

Manage access to resources in the AWS Cloud by only allowing authorized users, processes, and devices access to Amazon Simple Storage Service (Amazon S3) buckets. The management of access should be consistent with the classification of the data.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

sagemaker-notebook-no-direct-internet-access

Manage access to resources in the AWS Cloud by ensuring that Amazon SageMaker notebooks do not allow direct internet access. By preventing direct internet access, you can keep sensitive data from being accessed by unauthorized users.
AC-3(7) Enforce a role-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined roles and users authorized to assume such roles].

subnet-auto-assign-public-ip-disabled

Manage access to the AWS Cloud by ensuring Amazon Virtual Private Cloud (VPC) subnets are not automatically assigned a public IP address. Amazon Elastic Compute Cloud (EC2) instances that are launched into subnets that have this attribute enabled have a public IP address assigned to their primary network interface.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(8) Enforce the revocation of access authorizations resulting from changes to the security attributes of subjects and objects based on [Assignment: organization-defined rules governing the timing of revocations of access authorizations].

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail records AWS Management Console actions and API calls. You can identify which users and accounts called AWS, the source IP address from where the calls were made, and when the calls occurred. CloudTrail will deliver log files from all AWS Regions to your S3 bucket if MULTI_REGION_CLOUD_TRAIL_ENABLED is enabled. Additionally, when AWS launches a new Region, CloudTrail will create the same trail in the new Region. As a result, you will receive log files containing API activity for the new Region without taking any action.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

cloud-trail-cloud-watch-logs-enabled

Use Amazon CloudWatch to centrally collect and manage log event activity. Inclusion of AWS CloudTrail data provides details of API call activity within your AWS account.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

cloudtrail-enabled

AWS CloudTrail can help in non-repudiation by recording AWS Management Console actions and API calls. You can identify the users and AWS accounts that called an AWS service, the source IP address where the calls generated, and the timings of the calls. Details of captured data are seen within AWS CloudTrail Record Contents.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

cloudtrail-s3-dataevents-enabled

The collection of Simple Storage Service (Amazon S3) data events helps in detecting any anomalous activity. The details include AWS account information that accessed an Amazon S3 bucket, IP address, and time of event.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

rds-logging-enabled

To help with logging and monitoring within your environment, ensure Amazon Relational Database Service (Amazon RDS) logging is enabled. With Amazon RDS logging, you can capture events such as connections, disconnections, queries, or tables queried.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

redshift-cluster-configuration-check

To protect data at rest, ensure that encryption is enabled for your Amazon Redshift clusters. You must also ensure that required configurations are deployed on Amazon Redshift clusters. The audit logging should be enabled to provide information about connections and user activities in the database. This rule requires that a value is set for clusterDbEncrypted (Config Default : TRUE), and loggingEnabled (Config Default: TRUE). The actual values should reflect your organization's policies.
AC-3(10) Employ an audited override of automated access mechanisms under [Assignment: organization-defined conditions] by [Assignment: organization-defined roles].

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) server access logging provides a method to monitor the network for potential cybersecurity events. The events are monitored by capturing detailed records for the requests that are made to an Amazon S3 bucket. Each access log record provides details about a single access request. The details include the requester, bucket name, request time, request action, response status, and an error code, if relevant.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(12)(a) (a) Require applications to assert, as part of the installation process, the access needed to the following system applications and functions: [Assignment: organization-defined system applications and functions];

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(12)(b) (b) Provide an enforcement mechanism to prevent unauthorized access;

guardduty-enabled-centralized

Amazon GuardDuty can help to monitor and detect potential cybersecurity events by using threat intelligence feeds. These include lists of malicious IPs and machine learning to identify unexpected, unauthorized, and malicious activity within your AWS Cloud environment.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(13) Enforce attribute-based access control policy over defined subjects and objects and control access based upon [Assignment: organization-defined attributes to assume access permissions].

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(15)(a) (a) Enforce [Assignment: organization-defined mandatory access control policy] over the set of covered subjects and objects specified in the policy;

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

access-keys-rotated

The credentials are audited for authorized devices, users, and processes by ensuring IAM access keys are rotated as per organizational policy. Changing the access keys on a regular schedule is a security best practice. It shortens the period an access key is active and reduces the business impact if the keys are compromised. This rule requires an access key rotation value (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-password-policy

The identities and the credentials are issued, managed, and verified based on an organizational IAM password policy. They meet or exceed requirements as stated by NIST SP 800-63 and the AWS Foundational Security Best Practices standard for password strength. This rule allows you to optionally set RequireUppercaseCharacters (AWS Foundational Security Best Practices value: true), RequireLowercaseCharacters (AWS Foundational Security Best Practices value: true), RequireSymbols (AWS Foundational Security Best Practices value: true), RequireNumbers (AWS Foundational Security Best Practices value: true), MinimumPasswordLength (AWS Foundational Security Best Practices value: 14), PasswordReusePrevention (AWS Foundational Security Best Practices value: 24), and MaxPasswordAge (AWS Foundational Security Best Practices value: 90) for your IAM Password Policy. The actual values should reflect your organization's policies.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing "Effect": "Allow" with "Action": "*" over "Resource": "*". Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-root-access-key-check

Access to systems and assets can be controlled by checking that the root user does not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-user-mfa-enabled

Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Reduce the incidents of compromised accounts by requiring MFA for IAM users.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-user-no-policies-check

This rule ensures AWS Identity and Access Management (IAM) policies are attached only to groups or roles to control access to systems and assets. Assigning privileges at the group or the role level helps to reduce opportunity for an identity to receive or retain excessive privileges.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable and/or remove the credentials, as this may violate the principle of least privilege. This rule requires you to set a value to the maxCredentialUsageAge (Config Default: 90). The actual value should reflect your organization's policies.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

mfa-enabled-for-iam-console-access

Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management (IAM) users that have a console password. MFA aggiunge un ulteriore livello di protezione su nome utente e password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

root-account-hardware-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

root-account-mfa-enabled

Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

secretsmanager-rotation-enabled-check

This rule ensures AWS Secrets Manager secrets have rotation enabled. Rotating secrets on a regular schedule can shorten the period a secret is active, and potentially reduce the business impact if the secret is compromised.
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

secretsmanager-segreto-rotazione periodica

Rotating secrets can help you reduce the risk of an unauthorized use of your secrets, such as database credentials, passwords, third-party API keys, and even arbitrary text, in your AWS account. AWS Secret Manager allows you to configure your secrets to a
AC-3(15)(b) (b) Enforce [Assignment: organization-defined discretionary access control policy] over the set of covered subjects and objects specified in the policy.

secretsmanager-segreto-inutilizzato

Unused secrets can be abused by their former users who no longer need access to these secrets. Deleting unused secrets can assist in revoking secret access from users who no longer need it.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

Elasticsearch - Controllo della crittografia da nodo a nodo

Ensure node-to-node encryption for Amazon OpenSearch Service is enabled. Node-to-node encryption enables TLS 1.2 encryption for all communications within the Amazon Virtual Private Cloud (Amazon VPC). Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

elb-tls-https-solo listener

Ensure that your Elastic Load Balancers (ELBs) are configured with SSL or HTTPS listeners. Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

alb-http-to-https-redirection-check

To help protect data in transit, ensure that your Application Load Balancer automatically redirects unencrypted HTTP requests to HTTPS. Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

api-gw-ssl

Ensure Amazon API Gateway REST API stages are configured with SSL certificates to allow backend systems to authenticate that requests originate from API Gateway.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

elb-acm-certificate-required

Because sensitive data can exist and to help protect data at transit, ensure encryption is enabled for your Elastic Load Balancing. Use AWS Certificate Manager to manage, provision and deploy public and private SSL/TLS certificates with AWS services and internal resources.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

redshift-require-tls-ssl

Ensure that your Amazon Redshift clusters require TLS/SSL encryption to connect to SQL clients. Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4 Enforce approved authorizations for controlling the flow of information within the system and between connected systems based on [Assignment: organization-defined information flow control policies].

s3-bucket-ssl-requests-only

To help protect data in transit, ensure that your Amazon Simple Storage Service (Amazon S3) buckets require requests to use Secure Socket Layer (SSL). Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

abilitato alb-waf

Ensure AWS WAF is enabled on Elastic Load Balancers (ELB) to help protect web applications. A WAF helps to protect your web applications or APIs against common web exploits. These web exploits may affect availability, compromise security, or consume excessive resources within your environment.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

api-gw-associato-con-waf

AWS WAF enables you to configure a set of rules (called a web access control list (web ACL)) that allow, block, or count web requests based on customizable web security rules and conditions that you define. Ensure your Amazon API Gateway stage is associated with a WAF Web ACL to protect it from malicious attacks
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

autoscaling-launch-config-public-ip-disabled

If you configure your Network Interfaces with a public IP address, then the associated resources to those Network Interfaces are reachable from the internet. EC2 resources should not be publicly accessible, as this may allow unintended access to your applications or servers.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

ec2-instances-in-vpc

Deploy Amazon Elastic Compute Cloud (Amazon EC2) instances within an Amazon Virtual Private Cloud (Amazon VPC) to enable secure communication between an instance and other services within the amazon VPC, without requiring an internet gateway, NAT device, or VPN connection. Tutto il traffico rimane sicuro all'interno del cloud AWS. Because of their logical isolation, domains that reside within an Amazon VPC have an extra layer of security when compared to domains that use public endpoints. Assign Amazon EC2 instances to an Amazon VPC to properly manage access.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

route-to-igw senza restrizioni

Ensure Amazon EC2 route tables do not have unrestricted routes to an internet gateway. Removing or limiting the access to the internet for workloads within Amazon VPCs can reduce unintended access within your environment.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

redshift-enhanced-vpc-routing-enabled

Enhanced VPC routing forces all COPY and UNLOAD traffic between the cluster and data repositories to go through your Amazon VPC. You can then use VPC features such as security groups and network access control lists to secure network traffic. You can also use VPC flow logs to monitor network traffic.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

ssm-document-non-public

Ensure AWS Systems Manager (SSM) documents are not public, as this may allow unintended access to your SSM documents. A public SSM document can expose information about your account, resources and internal processes.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

dms-replication-not-public

Manage access to the AWS Cloud by ensuring DMS replication instances cannot be publicly accessed. DMS replication instances can contain sensitive information and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

ebs-snapshot-public-restorable-check

Manage access to the AWS Cloud by ensuring EBS snapshots are not publicly restorable. EBS volume snapshots can contain sensitive information and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

ec2-instance-no-public-ip

Manage access to the AWS Cloud by ensuring Amazon Elastic Compute Cloud (Amazon EC2) instances cannot be publicly accessed. Amazon EC2 instances can contain sensitive information and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

elasticsearch-in-vpc-only

Manage access to the AWS Cloud by ensuring Amazon OpenSearch Service (OpenSearch Service) Domains are within an Amazon Virtual Private Cloud (Amazon VPC). An OpenSearch Service domain within an Amazon VPC enables secure communication between OpenSearch Service and other services within the Amazon VPC without the need for an internet gateway, NAT device, or VPN connection.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

emr-master-no-public-ip

Manage access to the AWS Cloud by ensuring Amazon EMR cluster master nodes cannot be publicly accessed. Amazon EMR cluster master nodes can contain sensitive information and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

lambda-function-public-access-prohibited

Manage access to resources in the AWS Cloud by ensuring AWS Lambda functions cannot be publicly accessed. Public access can potentially lead to degradation of availability of resources.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

lambda-inside-vpc

Deploy AWS Lambda functions within an Amazon Virtual Private Cloud (Amazon VPC) for a secure communication between a function and other services within the Amazon VPC. With this configuration, there is no requirement for an internet gateway, NAT device, or VPN connection. All the traffic remains securely within the AWS Cloud. Because of their logical isolation, domains that reside within an Amazon VPC have an extra layer of security when compared to domains that use public endpoints. To properly manage access, AWS Lambda functions should be assigned to a VPC.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

rds-instance-public-access-check

Manage access to resources in the AWS Cloud by ensuring that Amazon Relational Database Service (Amazon RDS) instances are not public. Amazon RDS database instances can contain sensitive information, and principles and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

rds-snapshots-public-prohibited

Manage access to resources in the AWS Cloud by ensuring that Amazon Relational Database Service (Amazon RDS) instances are not public. Amazon RDS database instances can contain sensitive information and principles and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

redshift-cluster-public-access-check

Manage access to resources in the AWS Cloud by ensuring that Amazon Redshift clusters are not public. Amazon Redshift clusters can contain sensitive information and principles and access control is required for such accounts.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

restricted-common-ports

Manage access to resources in the AWS Cloud by ensuring common ports are restricted on Amazon Elastic Compute Cloud (Amazon EC2) security groups. Not restricting access to ports to trusted sources can lead to attacks against the availability, integrity and confidentiality of systems. This rule allows you to optionally set blockedPort1 - blockedPort5 parameters (Config Defaults: 20,21,3389,3306,4333). The actual values should reflect your organization's policies.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

s3-account-level-public-access-blocks-periodico

Manage access to resources in the AWS Cloud by ensuring that Amazon Simple Storage Service (Amazon S3) buckets cannot be publicly accessed. This rule helps keeping sensitive data safe from unauthorized remote users by preventing public access. This rule allows you to optionally set the ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True), and restrictPublicBuckets parameters (Config Default: True). The actual values should reflect your organization's policies.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

s3-bucket-level-public-access-vietato

Manage access to resources in the AWS Cloud by ensuring that Amazon Simple Storage Service (Amazon S3) buckets cannot be publicly accessed. This rule helps keeping sensitive data safe from unauthorized remote users by preventing public access at the bucket level.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

s3-bucket-public-read-prohibited

Manage access to resources in the AWS Cloud by only allowing authorized users, processes, and devices access to Amazon Simple Storage Service (Amazon S3) buckets. The management of access should be consistent with the classification of the data.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

s3-bucket-public-write-prohibited

Manage access to resources in the AWS Cloud by only allowing authorized users, processes, and devices access to Amazon Simple Storage Service (Amazon S3) buckets. The management of access should be consistent with the classification of the data.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

sagemaker-notebook-no-direct-internet-access

Manage access to resources in the AWS Cloud by ensuring that Amazon SageMaker notebooks do not allow direct internet access. By preventing direct internet access, you can keep sensitive data from being accessed by unauthorized users.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

subnet-auto-assign-public-ip-disabled

Manage access to the AWS Cloud by ensuring Amazon Virtual Private Cloud (VPC) subnets are not automatically assigned a public IP address. Amazon Elastic Compute Cloud (EC2) instances that are launched into subnets that have this attribute enabled have a public IP address assigned to their primary network interface.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) security groups can help in the management of network access by providing stateful filtering of ingress and egress network traffic to AWS resources. Restricting all the traffic on the default security group helps in restricting remote access to your AWS resources.
AC-4(21) Separate information flows logically or physically using [Assignment: organization-defined mechanisms and/or techniques] to accomplish [Assignment: organization-defined required separations by types of information].

vpc-sg-open-only-to-authorized-ports

Manage access to resources in the AWS Cloud by ensuring common ports are restricted on Amazon Elastic Compute Cloud (Amazon EC2) Security Groups. Not restricting access on ports to trusted sources can lead to attacks against the availability, integrity and confidentiality of systems. By restricting access to resources within a security group from the internet (0.0.0.0/0) remote access can be controlled to internal systems.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

Elasticsearch - Controllo della crittografia da nodo a nodo

Ensure node-to-node encryption for Amazon OpenSearch Service is enabled. Node-to-node encryption enables TLS 1.2 encryption for all communications within the Amazon Virtual Private Cloud (Amazon VPC). Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

elb-tls-https-solo listener

Ensure that your Elastic Load Balancers (ELBs) are configured with SSL or HTTPS listeners. Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

alb-http-to-https-redirection-check

To help protect data in transit, ensure that your Application Load Balancer automatically redirects unencrypted HTTP requests to HTTPS. Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

api-gw-ssl

Ensure Amazon API Gateway REST API stages are configured with SSL certificates to allow backend systems to authenticate that requests originate from API Gateway.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

elb-acm-certificate-required

Because sensitive data can exist and to help protect data at transit, ensure encryption is enabled for your Elastic Load Balancing. Use AWS Certificate Manager to manage, provision and deploy public and private SSL/TLS certificates with AWS services and internal resources.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

redshift-require-tls-ssl

Ensure that your Amazon Redshift clusters require TLS/SSL encryption to connect to SQL clients. Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4(22) Provide access from a single device to computing platforms, applications, or data residing in multiple different security domains, while preventing information flow between the different security domains.

s3-bucket-ssl-requests-only

To help protect data in transit, ensure that your Amazon Simple Storage Service (Amazon S3) buckets require requests to use Secure Socket Layer (SSL). Because sensitive data can exist, enable encryption in transit to help protect that data.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

abilitato per il cloudtrail basato su più regioni

AWS CloudTrail records AWS Management Console actions and API calls. You can identify which users and accounts called AWS, the source IP address from where the calls were made, and when the calls occurred. CloudTrail will deliver log files from all AWS Regions to your S3 bucket if MULTI_REGION_CLOUD_TRAIL_ENABLED is enabled. Additionally, when AWS launches a new Region, CloudTrail will create the same trail in the new Region. As a result, you will receive log files containing API activity for the new Region without taking any action.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

wafv2-logging abilitato

To help with logging and monitoring within your environment, enable AWS WAF (V2) logging on regional and global web ACLs. AWS WAF logging provides detailed information about the traffic that is analyzed by your web ACL. The logs record the time that AWS WAF received the request from your AWS resource, information about the request, and an action for the rule that each request matched.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

api-gw-execution-logging-enabled

API Gateway logging displays detailed views of users who accessed the API and the way they accessed the API. This insight enables visibility of user activities.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

cloud-trail-cloud-watch-logs-enabled

Use Amazon CloudWatch to centrally collect and manage log event activity. Inclusion of AWS CloudTrail data provides details of API call activity within your AWS account.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

cloudtrail-enabled

AWS CloudTrail can help in non-repudiation by recording AWS Management Console actions and API calls. You can identify the users and AWS accounts that called an AWS service, the source IP address where the calls generated, and the timings of the calls. Details of captured data are seen within AWS CloudTrail Record Contents.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

cloudtrail-s3-dataevents-enabled

The collection of Simple Storage Service (Amazon S3) data events helps in detecting any anomalous activity. The details include AWS account information that accessed an Amazon S3 bucket, IP address, and time of event.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

elb-logging-enabled

Elastic Load Balancing activity is a central point of communication within an environment. Ensure ELB logging is enabled. The collected data provides detailed information about requests sent to the ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

rds-logging-enabled

To help with logging and monitoring within your environment, ensure Amazon Relational Database Service (Amazon RDS) logging is enabled. With Amazon RDS logging, you can capture events such as connections, disconnections, queries, or tables queried.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

redshift-cluster-configuration-check

To protect data at rest, ensure that encryption is enabled for your Amazon Redshift clusters. You must also ensure that required configurations are deployed on Amazon Redshift clusters. The audit logging should be enabled to provide information about connections and user activities in the database. This rule requires that a value is set for clusterDbEncrypted (Config Default : TRUE), and loggingEnabled (Config Default: TRUE). The actual values should reflect your organization's policies.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) server access logging provides a method to monitor the network for potential cybersecurity events. The events are monitored by capturing detailed records for the requests that are made to an Amazon S3 bucket. Each access log record provides details about a single access request. The details include the requester, bucket name, request time, request action, response status, and an error code, if relevant.
AC-4(26) When transferring information between different security domains, record and audit content filtering actions and results for the information being filtered.

vpc-flow-logs-enabled

The VPC flow logs provide detailed records for information about the IP traffic going to and from network interfaces in your Amazon Virtual Private Cloud (Amazon VPC). By default, the flow log record includes values for the different components of the IP flow, including the source, destination, and protocol.
AC-4(28) When transferring information between different security domains, implement a linear content filter pipeline that is enforced with discretionary and mandatory access controls.

ec2-imdsv2 - controllo

Ensure the Instance Metadata Service Version 2 (IMDSv2) method is enabled to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata. The IMDSv2 method uses session-based controls. With IMDSv2, controls can be implemented to restrict changes to instance metadata.
AC-4(28) When transferring information between different security domains, implement a linear content filter pipeline that is enforced with discretionary and mandatory access controls.

iam-no-inline-policy-check

Ensure an AWS Identity and Access Management (IAM) user, IAM role or IAM group does not have an inline policy to control access to systems and assets. AWS recommends to use managed policies instead of inline policies. The managed policies allow reusability, versioning and rolling back, and delegating permissions management.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti in un
AC-4 (28) Quando si trasferiscono informazioni tra domini di sicurezza diversi, implementare una pipeline di filtro dei contenuti lineare applicata con controlli di accesso discrezionali e obbligatori.

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
AC-5b b. Definire le autorizzazioni di accesso al sistema per supportare la separazione dei compiti.

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
AC-5b b. Definire le autorizzazioni di accesso al sistema per supportare la separazione dei compiti.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-5b b. Definire le autorizzazioni di accesso al sistema per supportare la separazione dei compiti.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
6 Utilizzare il principio del privilegio minimo, consentendo solo gli accessi autorizzati per gli utenti (o i processi che agiscono per conto degli utenti) necessari per svolgere compiti organizzativi assegnati.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-6 (2) Richiedere che gli utenti di account di sistema (o ruoli) con accesso a [Assegnazione: funzioni di sicurezza definite dall'organizzazione o informazioni pertinenti alla sicurezza] utilizzino account o ruoli non privilegiati quando accedono a funzioni non di sicurezza.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (2) Richiedere che gli utenti di account di sistema (o ruoli) con accesso a [Assegnazione: funzioni di sicurezza definite dall'organizzazione o informazioni pertinenti alla sicurezza] utilizzino account o ruoli non privilegiati quando accedono a funzioni non di sicurezza.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (2) Richiedere che gli utenti di account di sistema (o ruoli) con accesso a [Assegnazione: funzioni di sicurezza definite dall'organizzazione o informazioni pertinenti alla sicurezza] utilizzino account o ruoli non privilegiati quando accedono a funzioni non di sicurezza.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-6 (3) Autorizzare l'accesso alla rete a [Assegnazione: comandi privilegiati definiti dall'organizzazione] solo per [Assegnazione: esigenze operative convincenti definite dall'organizzazione] e documenta le motivazioni di tale accesso nel piano di sicurezza del sistema.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-6 (3) Autorizzare l'accesso alla rete a [Assegnazione: comandi privilegiati definiti dall'organizzazione] solo per [Assegnazione: esigenze operative convincenti definite dall'organizzazione] e documenta le motivazioni di tale accesso nel piano di sicurezza del sistema.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (3) Autorizzare l'accesso alla rete a [Assegnazione: comandi privilegiati definiti dall'organizzazione] solo per [Assegnazione: esigenze operative convincenti definite dall'organizzazione] e documenta le motivazioni di tale accesso nel piano di sicurezza del sistema.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (3) Autorizzare l'accesso alla rete a [Assegnazione: comandi privilegiati definiti dall'organizzazione] solo per [Assegnazione: esigenze operative convincenti definite dall'organizzazione] e documenta le motivazioni di tale accesso nel piano di sicurezza del sistema.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

rds-logging-enabled

Per aiutarti nella registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitata. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-6 (9) Registra l'esecuzione di funzioni privilegiate.

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AC-6 (10) Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate.

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (10) Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-6 (10) Impedisci agli utenti non privilegiati di eseguire funzioni privilegiate.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-7 (4) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-7 (4) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-7 (4) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-7 (4) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-7 (4) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-7 (4) (a) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-7 (4) (a) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-7 (4) (a) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-7 (4) (a) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-7 (4) (a) (a) Consentire l'uso di [Assegnazione: fattori di autenticazione definiti dall'organizzazione] diversi dai fattori di autenticazione primari dopo il superamento del numero di tentativi di accesso non validi consecutivi definiti dall'organizzazione;

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-16b b. Assicurarsi che le associazioni di attributi siano effettuate e mantenute con le informazioni;

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17b b. Autorizzare ogni tipo di accesso remoto al sistema prima di consentire tali connessioni.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie all'isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17 (1) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni.
AC-17 (1) Utilizzare meccanismi automatizzati per monitorare e controllare i metodi di accesso remoto.

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni.
AC-17 (2) Implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-17 (2) Implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-17 (2) Implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
AC-17 (2) Implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
AC-17 (2) Implementa meccanismi crittografici per proteggere la riservatezza e l'integrità delle sessioni di accesso remoto.

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (4) (a) #NAME?

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17 (4) (a) (a) Autorizzare l'esecuzione di comandi privilegiati e l'accesso alle informazioni rilevanti per la sicurezza tramite accesso remoto solo in un formato che fornisce prove valutabili e per le seguenti esigenze: [Assegnazione: esigenze definite dall'organizzazione];

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17 (9) Fornire la possibilità di disconnettere o disabilitare l'accesso remoto al sistema entro [Assegnazione: periodo di tempo definito dall'organizzazione].

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

restricted-ssh

I gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare a gestire l'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e uscita verso le risorse AWS. Impedendo l'ingresso (o remoto) del traffico da 0.0.0.0/0 alla porta 22 sulle risorse ti aiuta a limitare l'accesso remoto.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

ec2-instances-in-vpc

Distribuendo le istanze di Amazon Elastic Compute Cloud (Amazon EC2) all'interno di Amazon Virtual Private Cloud (Amazon VPC) per consentire la comunicazione sicura tra un'istanza e altri servizi nel VPC di Amazon, senza la necessità di un Internet gateway, un dispositivo NAT o una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Assegna istanze Amazon EC2 a un Amazon VPC per gestire correttamente l'accesso.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

dms-replication-not-public

Gestisci l'accesso al cloud AWS assicurando che le istanze di replica DMS non possano essere accessibili pubblicamente. Le istanze di replica DMS possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

ebs-snapshot-public-restorable-check

Gestisci l'accesso al cloud AWS assicurando che gli snapshot di EBS di non siano ripristinabili pubblicamente. Le istantanee del volume EBS possono contenere informazioni sensibili e per tali account è necessario il controllo degli accessi.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

ec2-instance-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che le istanze Amazon Elastic Compute Cloud (Amazon EC2) non possano essere accessibili pubblicamente. Le istanze Amazon EC2 possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

elasticsearch-in-vpc-only

Gestisci l'accesso al cloud AWS assicurando AmazonOpenSearchService (Servizio)OpenSearchI domini di servizio) si trovano all'interno di un Amazon Virtual Private Cloud (Amazon VPC). Un recordOpenSearchIl dominio di servizio all'interno di un Amazon VPC consente una comunicazione sicura traOpenSearchServizio e altri servizi nel VPC Amazon senza la necessità di un gateway Internet, un dispositivo NAT o una connessione VPN.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

emr-master-no-public-ip

Gestisci l'accesso al cloud AWS assicurando che i nodi master cluster Amazon EMR non possano essere accessibili pubblicamente. I nodi master cluster Amazon EMR possono contenere informazioni riservate e per tali account è necessario il controllo degli accessi.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

lambda-function-public-access-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le funzioni AWS Lambda non siano accessibili pubblicamente. L'accesso pubblico può potenzialmente portare a un degrado della disponibilità delle risorse.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

lambda-inside-vpc

Implementa le funzioni AWS Lambda all'interno di un Amazon Virtual Private Cloud (Amazon VPC) per una comunicazione sicura tra una funzione e altri servizi all'interno di Amazon VPC. Con questa configurazione, non hai bisogno di un gateway Internet, di un dispositivo NAT o di una connessione VPN. Tutto il traffico rimane sicuro all'interno del cloud AWS. Grazie a loro isolamento logico, i domini che si trovano all'interno di un VPC Amazon hanno un ulteriore livello di sicurezza rispetto ai domini che usano gli endpoint pubblici. Per gestire correttamente l'accesso, le funzioni AWS Lambda devono essere assegnate a un VPC.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

rds-instance-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni riservate e sono necessari principi e controllo degli accessi per tali account.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

rds-snapshots-public-prohibited

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le istanze Amazon Relational Database Service (Amazon RDS) non siano pubbliche. Le istanze di database Amazon RDS possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

redshift-cluster-public-access-check

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i cluster Amazon Redshift non siano pubblici. I cluster Amazon Redshift possono contenere informazioni e principi sensibili e il controllo dell'accesso è necessario per tali account.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-account-level-public-access-blocks-periodico

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico. Questa regola permette l'impostazione facoltativaignorePublicAcls(Config Default: True),blockPublicPolicy(Config Default: True),blockPublicAcls(Config Default: True) erestrictPublicBucketsparametri (Config Default: True). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-bucket-level-public-access-vietato

Gestisci l'accesso alle risorse nel cloud AWS assicurando che i bucket Amazon Simple Storage Service (Amazon S3) non possano essere accessibili pubblicamente. Questa regola aiuta a proteggere i dati sensibili da utenti remoti non autorizzati impedendo l'accesso pubblico a livello di bucket.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-bucket-public-read-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

s3-bucket-public-write-prohibited

Gestisci l'accesso a risorse nel cloud AWS consentendo solo a utenti, processi e dispositivi autorizzati di accedere a bucket Amazon Simple Storage Service (Amazon S3). La gestione dell'accesso dovrebbe essere coerente con la classificazione dei dati.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

sagemaker-notebook-no-direct-internet-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che AmazonSageMakeri notebook non consentono l'accesso diretto a Internet. Impedendo l'accesso diretto a Internet, è possibile impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

subnet-auto-assign-public-ip-disabled

Gestisci l'accesso al cloud AWS assicurando che alle subnet Amazon Virtual Private Cloud (VPC) non venga assegnato automaticamente un indirizzo IP pubblico. Le istanze di Amazon Elastic Compute Cloud (EC2) lanciate in subnet con questo attributo abilitato hanno un indirizzo IP pubblico assegnato all'interfaccia di rete principale.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

vpc-default-security-group-closed

I gruppi di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) possono aiutare nella gestione dell'accesso alla rete fornendo un filtro stateful del traffico di rete in ingresso e in uscita alle risorse AWS. Limitare tutto il traffico sul gruppo di sicurezza predefinito aiuta a limitare l'accesso remoto alle risorse AWS.
AC-17 (10) Implementa [Assegnazione: meccanismi definiti dall'organizzazione] per autenticare [Assegnazione: comandi remoti definiti dall'organizzazione].

vpc-sg-open-only-to-authorized-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate nei gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Limitando l'accesso alle risorse all'interno di un gruppo di sicurezza da Internet (0.0.0.0/0), l'accesso remoto può essere controllato ai sistemi interni.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. L'MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti in un
AC-24 [Selezione: Stabilire procedure; Implementare meccanismi] per garantire che [Assegnazione: decisioni di controllo degli accessi definite dall'organizzazione] vengano applicate a ciascuna richiesta di accesso prima dell'esecuzione dell'accesso.

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC); Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AC-24 (1) Trasmetti [Assegnazione: informazioni sull'autorizzazione di accesso definite dall'organizzazione] utilizzando [Assegnazione: controlli definiti dall'organizzazione] a [Assegnazione: sistemi definiti dall'organizzazione] che impongono le decisioni sul controllo degli accessi.

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
-1 (A) L'organizzazione sviluppa, documenta e diffonde a [Assegnazione: personale o ruoli definiti dall'organizzazione]: (a) Una politica di sensibilizzazione e formazione sulla sicurezza che affronta lo scopo, la portata, i ruoli, le responsabilità, l'impegno di gestione, il coordinamento tra le entità organizzative e la conformità; e (b) Procedure volte a facilitare l'attuazione della politica di sensibilizzazione e formazione sulla sicurezza e dei relativi controlli di formazione e sensibilizzazione sulla sicurezza. (B) L'organizzazione esamina e aggiorna la corrente: (a) Politica di sensibilizzazione sulla sicurezza e formazione [Assegnazione: frequenza definita dall'organizzazione]; e (b) Procedure di sensibilizzazione e formazione sulla sicurezza [Assegnazione: frequenza definita dall'organizzazione]. security-awareness-program-exists (verifica del processo) Stabilisci e gestisci un programma di sensibilizzazione sulla sicurezza per la tua organizzazione I programmi di sensibilizzazione sulla sicurezza educano i dipendenti su come proteggere la propria organizzazione da varie violazioni o incidenti della sicurezza.
AT-4b b. Conservare i record di formazione individuali per [Assegnazione: periodo di tempo definito dall'organizzazione].

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-1 (A) L'organizzazione sviluppa, documenta e diffonde a [Assegnazione: personale o ruoli definiti dall'organizzazione]: (a) Una politica di audit e responsabilità che affronti scopo, ambito, ruoli, responsabilità, impegno di gestione, coordinamento tra entità organizzative e conformità; e b) Procedure facilitare l'implementazione della politica di audit e responsabilità e dei relativi controlli di audit e responsabilità. (B) L'organizzazione esamina e aggiorna il criterio corrente: (a) Controllo e responsabilità [Assegnazione: frequenza definita dall'organizzazione]; e (b) Procedure di audit e responsabilità [Assegnazione: frequenza definita dall'organizzazione]. audit-log-policy-exists (verifica del processo) Stabilire e mantenere un criterio di gestione dei log di controllo che definisce i requisiti di registrazione dell'organizzazione. Ciò include, a titolo esemplificativo ma non esaustivo, la revisione e la conservazione dei registri di controllo.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
au-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

s3-bucket-logging-enabled

La registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-2 b b. Coordinare la funzione di registrazione eventi con altre entità organizzative che richiedono informazioni relative all'audit per guidare e informare i criteri di selezione per gli eventi da registrare;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
au-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I registri di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'azione per la regola corrispondente a ogni richiesta.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3a Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: a. Che tipo di evento si è verificato;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3b Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: b. Quando si è verificato l'evento;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3c Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: c. Dove si è verificato l'evento;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3d Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: d. Origine dell'evento;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3e Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: e. Risultato dell'evento;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-3f Assicurarsi che i record di audit contengano informazioni che stabiliscono quanto segue: f. Identità di individui, soggetti o oggetti/entità associati all'evento.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-3 (1) Genera record di audit contenenti le seguenti informazioni aggiuntive: [Assegnazione: informazioni aggiuntive definite dall'organizzazione].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-3 (1) Genera record di audit contenenti le seguenti informazioni aggiuntive: [Assegnazione: informazioni aggiuntive definite dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU-4 (1) Trasferire i registri di controllo [Assegnazione: frequenza definita dall'organizzazione] su un sistema, componente di sistema o supporto diverso dal sistema o dal componente di sistema che esegue la registrazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (1) Integra i processi di revisione, analisi e reporting dei record di audit utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (1) Integra i processi di revisione, analisi e reporting dei record di audit utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU-6 (1) Integra i processi di revisione, analisi e reporting dei record di audit utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU-6 (1) Integra i processi di revisione, analisi e reporting dei record di audit utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-6 (3) Analizza e correlazione i record di audit in diversi repository per acquisire consapevolezza situazionale a livello di organizzazione.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-6 (4) Fornire e implementare la capacità di rivedere e analizzare centralmente i record di audit da più componenti all'interno del sistema.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6 (5) Integrare l'analisi dei record di audit con l'analisi di [Selezione (una o più): informazioni sulla scansione delle vulnerabilità; dati sulle prestazioni; informazioni di monitoraggio del sistema; [Assegnazione: dati/informazioni definite dall'organizzazione raccolte da altre fonti]] per migliorare ulteriormente la capacità di identificare inappropriati o insoliti un'attività

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (5) Integrare l'analisi dei record di audit con l'analisi di [Selezione (una o più): informazioni sulla scansione delle vulnerabilità; dati sulle prestazioni; informazioni di monitoraggio del sistema; [Assegnazione: dati/informazioni definite dall'organizzazione raccolte da altre fonti]] per migliorare ulteriormente la capacità di identificare inappropriati o insoliti un'attività

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU-6 (5) Integrare l'analisi dei record di audit con l'analisi di [Selezione (una o più): informazioni sulla scansione delle vulnerabilità; dati sulle prestazioni; informazioni di monitoraggio del sistema; [Assegnazione: dati/informazioni definite dall'organizzazione raccolte da altre fonti]] per migliorare ulteriormente la capacità di identificare inappropriati o insoliti un'attività

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU-6 (5) Integrare l'analisi dei record di audit con l'analisi di [Selezione (una o più): informazioni sulla scansione delle vulnerabilità; dati sulle prestazioni; informazioni di monitoraggio del sistema; [Assegnazione: dati/informazioni definite dall'organizzazione raccolte da altre fonti]] per migliorare ulteriormente la capacità di identificare inappropriati o insoliti un'attività

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-6 (6) Correlare le informazioni provenienti dai record di audit con le informazioni ottenute dal monitoraggio dell'accesso fisico per migliorare ulteriormente la capacità di identificare attività sospette, inappropriate, insolite o malevoli.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che il log ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-6 (9) Correlate le informazioni provenienti da fonti non tecniche con le informazioni sui record di audit per migliorare la consapevolezza situazionale a livello di organizzazione.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-7 (1) Fornire e implementare la capacità di elaborare, ordinare e cercare i record di audit per eventi di interesse in base ai seguenti contenuti: [Assegnazione: campi definiti dall'organizzazione all'interno dei record di controllo].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
Au-8b b. Registra i timestamp per i record di controllo che soddisfano [Assegnazione: granularità della misurazione del tempo definita dall'organizzazione] e che utilizzano il tempo universale coordinato, hanno un offset orario locale fisso rispetto al tempo universale coordinato o che includono l'offset orario locale come parte del timestamp.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-9a a. Proteggere le informazioni di audit e gli strumenti di registrazione degli audit da accessi, modifiche ed eliminazione non autorizzati;

cloud-trail-log-file-validation-enabled

Utilizzo di AWSCloudTrailconvalida del file di log per verificare l'integrità diCloudTrailregistri. La convalida del file di registro aiuta a determinare se un file di registro è stato modificato o eliminato o invariato dopoCloudTraill'ha consegnato. Questa funzione è costruita utilizzando algoritmi standard del settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.
AU-9 (2) Memorizzare i record di controllo [Assegnazione: frequenza definita dall'organizzazione] in un repository che fa parte di un sistema o componente di sistema fisicamente diverso da quello del sistema o del componente sottoposto a controllo.

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supporta il mantenimento di capacità e disponibilità adeguate. CRR abilita la copia asincrona e automatica di oggetti tra bucket Amazon S3 per garantire il mantenimento della disponibilità dei dati.
AU-9 (2) Memorizzare i record di controllo [Assegnazione: frequenza definita dall'organizzazione] in un repository che fa parte di un sistema o componente di sistema fisicamente diverso da quello del sistema o del componente sottoposto a controllo.

s3-bucket-versioning-enabled

Il controllo delle versioni dei bucket Amazon Simple Storage Service (Amazon S3) consente di mantenere più varianti di un oggetto nello stesso bucket Amazon Simple Storage Service (Amazon S3). Usa questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni ti aiuta a ripristinare facilmente le operazioni involontarie dell'utente e i guasti dell'applicazione.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

dynamodb-table-encrypted-kms

Assicurati che la crittografia sia abilitata per le tabelle Amazon DynamoDB. Poiché i dati sensibili possono esistere a riposo in queste tabelle, abilitare la crittografia a riposo per proteggere tali dati. Per impostazione predefinita, le tabelle DynamoDB sono crittografate con una chiave master cliente di proprietà AWS (CMK).
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC); Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

rds-snapshot-encrypted

Verifica che la crittografia sia abilitata per le istantanee di Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

s3-default-encryption-kms

Assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo in un bucket Amazon S3, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

sagemaker-notebook-instance-kms-key-configurato

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakernotebook. Perché i dati sensibili possono esistere a riposoSageMakernotebook, abilita la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

sns-encrypted-kms

Per proteggere i dati a riposo, assicurati che gli argomenti Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Poiché i dati sensibili possono esistere a riposo nei messaggi pubblicati, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

api-gw-cache-enabled-and-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per la cache della fase API Gateway. Poiché i dati sensibili possono essere acquisiti per il metodo API, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

cloud-trail-encryption-enabled

Poiché potrebbero esistere dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo AWSCloudTrailsentieri.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

cloudwatch-log-group-encrypted

Per proteggere i dati sensibili a riposo, assicurati che la crittografia sia abilitata per il tuo AmazonCloudWatchGruppi di log di.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

efs-encrypted-check

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per il tuo Amazon Elastic File System (EFS).
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

elasticsearch-encrypted-at-rest

Poiché i dati sensibili possono esistere e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per AmazonOpenSearchService (Servizio)OpenSearchDomini Service).
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

encrypted-volumes

Grazie a loro esistenza di dati sensibili e per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS).
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

rds-storage-encrypted

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per le istanze Amazon Relational Database Service (Amazon RDS). Poiché i dati sensibili possono esistere a riposo nelle istanze Amazon RDS, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

redshift-cluster-kms-enabled

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per il cluster Amazon Redshift. Poiché i dati sensibili possono esistere a riposo nei cluster Redshift, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

S3-bucket-server-side-encryption-enabled

Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per i bucket Amazon Simple Storage Service (Amazon S3). Poiché i dati sensibili possono esistere a riposo nei bucket Amazon S3, abilitare la crittografia per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

sagemaker-endpoint-configuration-kms-key-configured

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per ilSageMakerEndpoint. Perché i dati sensibili possono esistere a riposoSageMakerendpoint, abilita la crittografia a riposo per proteggere tali dati.
AU-9 (3) Implementa meccanismi crittografici per proteggere l'integrità delle informazioni di audit e degli strumenti di audit.

secretsmanager-using-cmk

Per proteggere i dati inattivi, assicurati che la crittografia con AWS Key Management Service (AWS KMS) sia abilitata per i segreti AWS Secrets Manager. Poiché i dati sensibili possono esistere a riposo nei segreti di Secrets Manager, abilitare la crittografia a riposo per proteggere tali dati.
AU-9 (7) Memorizza le informazioni di controllo su un componente che esegue un sistema operativo diverso da quello del sistema o del componente sottoposto a controllo.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

ricerca elastica - logs-to-cloud watch

Garantire AmazonOpenSearchI domini del servizio hanno i log degli errori abilitati e trasmessi in streaming su AmazonCloudWatchRegistri per la conservazione e la risposta. I registri degli errori di dominio possono essere utili per gli audit di sicurezza e di accesso e possono aiutare a diagnosticare i problemi di disponibilità.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CA-10 Fornire prove inconfutabili che un individuo (o un processo che agisce per conto di un individuo) ha eseguito [Assegnazione: azioni definite dall'organizzazione che devono essere coperte dal non ripudio].

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-11 (1) Utilizzare [Assegnazione: misure definite dall'organizzazione] per garantire che i record di audit a lungo termine generati dal sistema possano essere recuperati.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
CA-11 Conservare i record di audit per [Assegnazione: periodo di tempo definito dall'organizzazione coerente con i criteri di conservazione dei record] per fornire supporto perafter-the-factindagini sugli incidenti e per soddisfare i requisiti normativi e organizzativi di conservazione delle informazioni.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12a a. Fornire funzionalità di generazione di record di audit per i tipi di eventi che il sistema è in grado di controllare come definito in Au-2a su [Assegnazione: componenti di sistema definiti dall'organizzazione];

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12c c. Genera record di controllo per i tipi di eventi definiti in AU-2c che includono il contenuto del record di controllo definito in AU-3.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione degli audit dovrebbe essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12 (1) Compilare i record di audit da [Assegnazione: componenti di sistema definiti dall'organizzazione] in un audit trail (logico o fisico) a livello di sistema correlato all'interno di [Assegnazione: livello di tolleranza definito dall'organizzazione per la relazione tra i timestamp dei singoli record nell'audit trail].

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12 (2) Produci un audit trail a livello di sistema (logico o fisico) composto da record di audit in un formato standardizzato.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a basalizzare il numero di richieste che la funzione sta elaborando in un dato momento.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la capacità e la disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ing, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12 (3) Fornire e implementare la capacità per [Assegnazione: individui o ruoli definiti dall'organizzazione] di modificare la registrazione da eseguire su [Assegnazione: componenti di sistema definiti dall'organizzazione] in base a [Assegnazione: criteri di evento selezionabili definiti dall'organizzazione] entro [Assegnazione: tempo definito dall'organizzazione Soglie].

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-12 (4) Fornire e implementare la capacità di controllare i parametri degli eventi di query utente per set di dati contenenti informazioni di identificazione personale.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a basalizzare il numero di richieste che la funzione sta elaborando in un dato momento.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la capacità e la disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ing, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-14a a. Fornire e implementare la funzionalità per [Assegnazione: utenti o ruoli definiti dall'organizzazione] a [Selezione (uno o più): registrare; visualizzare; ascoltare; registrare] il contenuto di una sessione utente in [Assegnazione: circostanze definite dall'organizzazione];

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a basalizzare il numero di richieste che la funzione sta elaborando in un dato momento.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la capacità e la disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ing, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida ai cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-14b b. Sviluppare, integrare e utilizzare le attività di audit delle sessioni in consultazione con il consulente legale e in conformità con le leggi, gli ordini esecutivi, le direttive, i regolamenti, le politiche, gli standard e le linee guida applicabili.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
AU-14 (3) Fornire e implementare la capacità per gli utenti autorizzati di visualizzare e ascoltare da remoto i contenuti relativi a una sessione utente stabilita in tempo reale.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
CA-16 Utilizzare [Assegnazione: metodi definiti dall'organizzazione] per coordinare [Assegnazione: informazioni di audit definite dall'organizzazione] tra organizzazioni esterne quando le informazioni di audit vengono trasmesse oltre i confini organizzativi.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
CA-2d d. valutare i controlli nel sistema e nel suo ambiente di funzionamento [Assegnazione: frequenza definita dall'organizzazione] per determinare la misura in cui i controlli sono implementati correttamente, operando come previsto e producendo il risultato desiderato per quanto riguarda il rispetto dei requisiti di sicurezza e privacy stabiliti;

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CA-2d d. valutare i controlli nel sistema e nel suo ambiente di funzionamento [Assegnazione: frequenza definita dall'organizzazione] per determinare la misura in cui i controlli sono implementati correttamente, operando come previsto e producendo il risultato desiderato per quanto riguarda il rispetto dei requisiti di sicurezza e privacy stabiliti;

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
CA-2 (2) Includere come parte delle valutazioni di controllo, [Assegnazione: frequenza definita dall'organizzazione], [Selezione: annunciata; senza preavviso], [Selezione (una o più): monitoraggio approfondito; strumentazione di sicurezza; test case automatizzati di sicurezza; scansione delle vulnerabilità; test degli utenti dannosi; valutazione delle minacce insider; prestazioni e test di carico; perdita di dati o valutazione della perdita di dati; [Assegnazione: altre forme di valutazione definite dall'organizzazione]].

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
CA-2 (2) Includere come parte delle valutazioni di controllo, [Assegnazione: frequenza definita dall'organizzazione], [Selezione: annunciata; senza preavviso], [Selezione (una o più): monitoraggio approfondito; strumentazione di sicurezza; test case automatizzati di sicurezza; scansione delle vulnerabilità; test degli utenti dannosi; valutazione delle minacce insider; prestazioni e test di carico; perdita di dati o valutazione della perdita di dati; [Assegnazione: altre forme di valutazione definite dall'organizzazione]].

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
CA-2 (2) Includere come parte delle valutazioni di controllo, [Assegnazione: frequenza definita dall'organizzazione], [Selezione: annunciata; senza preavviso], [Selezione (una o più): monitoraggio approfondito; strumentazione di sicurezza; test case automatizzati di sicurezza; scansione delle vulnerabilità; test degli utenti dannosi; valutazione delle minacce insider; prestazioni e test di carico; perdita di dati o valutazione della perdita di dati; [Assegnazione: altre forme di valutazione definite dall'organizzazione]].

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la capacità e la disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ing, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
CA-2 (2) Includere come parte delle valutazioni di controllo, [Assegnazione: frequenza definita dall'organizzazione], [Selezione: annunciata; senza preavviso], [Selezione (una o più): monitoraggio approfondito; strumentazione di sicurezza; test case automatizzati di sicurezza; scansione delle vulnerabilità; test degli utenti dannosi; valutazione delle minacce insider; prestazioni e test di carico; perdita di dati o valutazione della perdita di dati; [Assegnazione: altre forme di valutazione definite dall'organizzazione]].

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida a cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
CA-2 (2) Includere come parte delle valutazioni di controllo, [Assegnazione: frequenza definita dall'organizzazione], [Selezione: annunciata; senza preavviso], [Selezione (una o più): monitoraggio approfondito; strumentazione di sicurezza; test case automatizzati di sicurezza; scansione delle vulnerabilità; test degli utenti dannosi; valutazione delle minacce insider; prestazioni e test di carico; perdita di dati o valutazione della perdita di dati; [Assegnazione: altre forme di valutazione definite dall'organizzazione]].

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
CA-2 (2) Includere come parte delle valutazioni di controllo, [Assegnazione: frequenza definita dall'organizzazione], [Selezione: annunciata; senza preavviso], [Selezione (una o più): monitoraggio approfondito; strumentazione di sicurezza; test case automatizzati di sicurezza; scansione delle vulnerabilità; test degli utenti dannosi; valutazione delle minacce insider; prestazioni e test di carico; perdita di dati o valutazione della perdita di dati; [Assegnazione: altre forme di valutazione definite dall'organizzazione]].

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a basalizzare il numero di richieste che la funzione sta elaborando in un dato momento.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la capacità e la disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ing, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida a cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CA 7 Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: a. Stabilire le seguenti metriche a livello di sistema da monitorare: [Assegnazione: metriche a livello di sistema definite dall'organizzazione]; b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo; c. Valutazioni di controllo in corso secondo la strategia di monitoraggio continuo; d. Monitoraggio continuo delle metriche definite dal sistema e dall'organizzazione in conformità con la strategia di monitoraggio continuo; e. Correlazione e analisi delle informazioni generate da valutazioni di controllo e monitoraggio; f. Azioni di risposta per affrontare i risultati dell'analisi delle informazioni di valutazione e monitoraggio del controllo; e g. Segnalazione dello stato di sicurezza e privacy del sistema a [Assegnazione: personale o ruoli definiti dall'organizzazione] [Assegnazione: frequenza definita dall'organizzazione].

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

cw-loggroup-retention-period check

Assicurati che sia conservata una durata minima dei dati del registro eventi per i gruppi di log per aiutare nella risoluzione dei problemi e nelle indagini scientifiche. La mancanza di dati del registro eventi passati disponibili rende difficile la ricostruzione e l'identificazione di eventi potenzialmente dannosi.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

lambda-concurrency-check

Questa regola assicura che vengano stabiliti i limiti alti e bassi di concorrenza di una funzione Lambda. Ciò può aiutare a basalizzare il numero di richieste che la funzione sta elaborando in un dato momento.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

lambda-dlq-check

Abilita questa regola per informare il personale appropriato tramite Amazon Simple Queue Service (Amazon SQS) o Amazon Simple Notification Service (Amazon SNS) quando una funzione non è riuscita.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

rds-enhanced-monitoring-enabled

È possibile attivare Amazon Relational Database Service (Amazon RDS) per monitorare la disponibilità di Amazon RDS. Ciò fornisce una visibilità dettagliata dello stato delle istanze di database Amazon RDS. Quando lo storage Amazon RDS utilizza più di un dispositivo fisico sottostante, Enhanced Monitoring raccoglie i dati per ciascun dispositivo. Inoltre, quando l'istanza del database Amazon RDS è in esecuzione in una distribuzione Multi-AZ, vengono raccolti i dati per ciascun dispositivo sull'host secondario e le metriche dell'host secondario.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

securityhub-enabled

AWS Security Hub aiuta a monitorare personale, connessioni, dispositivi e software non autorizzati. Security Hub aggrega, organizza e assegna priorità agli avvisi o ai risultati di sicurezza da più servizi AWS. Alcuni di questi servizi sono Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer e AWS Firewall Manager e soluzioni AWS Partner.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

autoscaling-group-elb-healthcheck-required

I controlli di integrità Elastic Load Balancer (ELB) per i gruppi Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) supportano la capacità e la disponibilità adeguate. Il sistema di bilanciamento del carico invia periodicamente ing, effettua tentativi di connessione o invia richieste per testare lo stato delle istanze Amazon EC2 in un gruppo di auto-scaling. Se un'istanza non viene segnalata, il traffico viene inviato a una nuova istanza Amazon EC2.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

beanstalk-potenziato-health reporting-abilitato

Il reporting dello stato avanzato AWS Elastic Beanstalk consente una risposta più rapida a cambiamenti nello stato dell'infrastruttura sottostante. Queste modifiche potrebbero comportare una mancanza di disponibilità dell'applicazione. Elastic Beanstalk migliorata segnalazione dello stato fornisce un descrittore di stato per valutare la gravità dei problemi identificati e identificare le possibili cause da indagare.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

cloudwatch-alarm-action-check

AmazonCloudWatchavvisi quando un parametro supera la soglia per un numero specificato di periodi di valutazione. L'allarme esegue una o più operazioni basate sul valore del parametro o espressione relativa a una soglia su un certo numero di periodi. Questa regola richiede un valore peralarmActionRequired(Config Default: True),insufficientDataActionRichiesto (Config predefinita: True),okActionRequired(Config Default: False). Il valore effettivo dovrebbe riflettere le azioni di allarme per l'ambiente.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

dynamodb-throughput-limit-check

Attiva questa regola per garantire che la capacità di throughput di provisioning sia controllata sulle tabelle Amazon DynamoDB. Questa è la quantità di attività di lettura/scrittura che ogni tabella può supportare. DynamoDB utilizza queste informazioni per prenotare risorse di sistema sufficienti per soddisfare le esigenze di velocità effettiva. Questa regola genera un avviso quando il throughput si avvicina al limite massimo per l'account di un cliente. Questa regola permette l'impostazione facoltativa AccountRCUThresholdPercentage(Config Default: 80) e accountWCUThresholdPercentage(Config Default: 80) parametri. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

guardduty-enabled-centralized

AmazonGuardDutypuò aiutare a monitorare e rilevare potenziali eventi di sicurezza informatica utilizzando i feed di threat intelligence. In questo modo elenchi di IP dannosi nonché il machine learning per identificare attività inattese, non autorizzate e dannose nell'ambiente AWS Cloud.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
CA-7b Sviluppare una strategia di monitoraggio continuo a livello di sistema e implementare il monitoraggio continuo in conformità con la strategia di monitoraggio continuo a livello di organizzazione che include: b. Stabilire [Assegnazione: frequenze definite dall'organizzazione] per il monitoraggio e [Assegnazione: frequenze definite dall'organizzazione] per la valutazione dell'efficacia del controllo;

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
CA-7 (4) (c) Garantire che il monitoraggio dei rischi sia parte integrante della strategia di monitoraggio continuo che include quanto segue: (c) Monitoraggio delle modifiche.

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia abilitata la protezione da eliminazione. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
CA-7 (4) (c) Garantire che il monitoraggio dei rischi sia parte integrante della strategia di monitoraggio continuo che include quanto segue: (c) Monitoraggio delle modifiche.

rds-instance-deletion-protection-enabled

Verifica che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

Elasticsearch - Controllo della crittografia da nodo a nodo

Garantirenode-to-nodeCrittografia per AmazonOpenSearchIl servizio è abilitato. Node-to-nodeabilita la crittografia TLS 1.2 per tutte le comunicazioni all'interno di Amazon Virtual Private Cloud (Amazon VPC); Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

elb-tls-https-solo listener

Assicurati che i tuoi Elastic Load Balancers (ELB) siano configurati con listener SSL o HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

alb-http-to-https-redirection-check

Per proteggere i dati in transito, assicurati che Application Load Balancer reindirizza automaticamente le richieste HTTP non crittografate a HTTPS. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

api-gw-ssl

Assicurati che le fasi dell'API REST di Amazon API Gateway siano configurate con certificati SSL per consentire ai sistemi backend di autenticare che le richieste provengono da API Gateway.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

elb-acm-certificate-required

Poiché i dati sensibili possono esistere e per proteggere i dati durante il transito, assicurati che la crittografia sia abilitata per il Elastic Load Balancing. Utilizza AWS Certificate Manager per gestire, eseguire il provisioning e distribuire certificati SSL/TLS pubblici e privati con servizi AWS e risorse interne.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

redshift-require-tls-ssl

Assicurati che i cluster Amazon Redshift richiedono la crittografia TLS/SSL per connettersi ai client SQL. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CA-9b b. Documentare, per ogni connessione interna, le caratteristiche dell'interfaccia, i requisiti di sicurezza e privacy e la natura delle informazioni comunicate;

s3-bucket-ssl-requests-only

Per proteggere i dati in transito, assicurati che i bucket Amazon Simple Storage Service (Amazon S3) impongono l'utilizzo di SSL (Secure Socket Layer) per le richieste. Poiché i dati sensibili possono esistere, abilitare la crittografia in transito per proteggere tali dati.
CM-2a a. Sviluppare, documentare e mantenere sotto controllo di configurazione una configurazione di base corrente del sistema;

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-2a a. Sviluppare, documentare e mantenere sotto controllo di configurazione una configurazione di base corrente del sistema;

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-2a a. Sviluppare, documentare e mantenere sotto controllo di configurazione una configurazione di base corrente del sistema;

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
CM-2a a. Sviluppare, documentare e mantenere sotto controllo di configurazione una configurazione di base corrente del sistema;

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM-2a a. Sviluppare, documentare e mantenere sotto controllo di configurazione una configurazione di base corrente del sistema;

elb-deletion-protection-enabled

Questa regola garantisce che Elastic Load Balancing abbia abilitata la protezione da eliminazione. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
CM-2a a. Sviluppare, documentare e mantenere sotto controllo di configurazione una configurazione di base corrente del sistema;

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
Cm-2 b b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione]; 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione]; e 3. Quando i componenti di sistema sono installati o aggiornati.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
Cm-2 b b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione]; 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione]; e 3. Quando i componenti di sistema sono installati o aggiornati.

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
Cm-2 b b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione]; 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione]; e 3. Quando i componenti di sistema sono installati o aggiornati.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
Cm-2 b b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione]; 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione]; e 3. Quando i componenti di sistema sono installati o aggiornati.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
Cm-2 b b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione]; 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione]; e 3. Quando i componenti di sistema sono installati o aggiornati.

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
Cm-2 b b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione]; 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione]; e 3. Quando i componenti di sistema sono installati o aggiornati.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
cm-2b.1 b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione];

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
cm-2b.1 b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione];

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
cm-2b.1 b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione];

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
cm-2b.1 b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione];

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
cm-2b.1 b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione];

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
cm-2b.1 b. Esamina e aggiorna la configurazione di base del sistema: 1. [Assegnazione: frequenza definita dall'organizzazione];

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-2b.2 b. Esamina e aggiorna la configurazione di base del sistema: 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione];

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
CM-2b.2 b. Esamina e aggiorna la configurazione di base del sistema: 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione];

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-2b.2 b. Esamina e aggiorna la configurazione di base del sistema: 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione];

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-2b.2 b. Esamina e aggiorna la configurazione di base del sistema: 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione];

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
CM-2b.2 b. Esamina e aggiorna la configurazione di base del sistema: 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione];

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM-2b.2 b. Esamina e aggiorna la configurazione di base del sistema: 2. Quando richiesto a causa di [Assegnazione: circostanze definite dall'organizzazione];

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
cm-2b.3 b. Esamina e aggiorna la configurazione di base del sistema: 3 Quando i componenti di sistema sono installati o aggiornati.

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
cm-2b.3 b. Esamina e aggiorna la configurazione di base del sistema: 3 Quando i componenti di sistema sono installati o aggiornati.

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
cm-2b.3 b. Esamina e aggiorna la configurazione di base del sistema: 3 Quando i componenti di sistema sono installati o aggiornati.

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
cm-2b.3 b. Esamina e aggiorna la configurazione di base del sistema: 3 Quando i componenti di sistema sono installati o aggiornati.

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
cm-2b.3 b. Esamina e aggiorna la configurazione di base del sistema: 3 Quando i componenti di sistema sono installati o aggiornati.

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
cm-2b.3 b. Esamina e aggiorna la configurazione di base del sistema: 3 Quando i componenti di sistema sono installati o aggiornati.

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-2 (2) Mantenere la valuta, la completezza, l'accuratezza e la disponibilità della configurazione di base del sistema utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-2 (2) Mantenere la valuta, la completezza, l'accuratezza e la disponibilità della configurazione di base del sistema utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-2 (2) Mantenere la valuta, la completezza, l'accuratezza e la disponibilità della configurazione di base del sistema utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
CM-2 (2) Mantenere la valuta, la completezza, l'accuratezza e la disponibilità della configurazione di base del sistema utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM-2 (2) Mantenere la valuta, la completezza, l'accuratezza e la disponibilità della configurazione di base del sistema utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

elb-deletion-protection-enabled

Questa regola garantisce che l'Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
CM-2 (2) Mantenere la valuta, la completezza, l'accuratezza e la disponibilità della configurazione di base del sistema utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione].

restricted-common-ports

Gestisci l'accesso alle risorse nel cloud AWS assicurando che le porte comuni siano limitate ai gruppi di sicurezza di Amazon Elastic Compute Cloud (Amazon EC2). Non limitare l'accesso alle porte a fonti attendibili può causare attacchi contro la disponibilità, l'integrità e la riservatezza dei sistemi. Questa regola consente di impostare facoltativamente i parametri BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
cm-3a a. Determinare e documentare i tipi di modifiche al sistema controllate dalla configurazione;

elb-deletion-protection-enabled

Questa regola garantisce che l'Elastic Load Balancing abbia la protezione da eliminazione abilitata. Utilizzare questa funzione per evitare che il bilanciamento del carico venga eliminato accidentalmente o dannoso, il che può comportare una perdita di disponibilità per le applicazioni.
cm-3a a. Determinare e documentare i tipi di modifiche al sistema controllate dalla configurazione;

rds-instance-deletion-protection-enabled

Verifica che le istanze di Amazon Relational Database Service (Amazon RDS) abbiano abilitato la protezione dall'eliminazione. Utilizza la protezione dall'eliminazione per evitare che le tue istanze Amazon RDS vengano cancellate accidentalmente o dannosamente, il che può comportare una perdita di disponibilità per le tue applicazioni.
CM-3 (3) Implementa le modifiche alla baseline di sistema corrente e distribuisci la baseline aggiornata nella base installata utilizzando [Assignment: organization-defined automated mechanisms].

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
CM-3 (3) Implementa le modifiche alla baseline di sistema corrente e distribuisci la baseline aggiornata nella base installata utilizzando [Assignment: organization-defined automated mechanisms].

ec2-instance-managed-by-systems-manager

È possibile un inventario delle piattaforme software e delle applicazioni all'interno dell'organizzazione gestendo le istanze Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Utilizza AWS Systems Manager per fornire configurazioni dettagliate di sistema, livelli di patch del sistema operativo, nome e tipo dei servizi, installazioni software, nome dell'applicazione, editore e versione e altri dettagli sull'ambiente.
CM-3 (3) Implementa le modifiche alla baseline di sistema corrente e distribuisci la baseline aggiornata nella base installata utilizzando [Assignment: organization-defined automated mechanisms].

ec2-managedinstance-association-compliance-status-check

Utilizza AWS Systems Manager Associations per aiutare con l'inventario di piattaforme software e applicazioni all'interno di un'organizzazione. AWS Systems Manager assegna uno stato di configurazione alle istanze gestite e consente di impostare le baseline dei livelli di patch del sistema operativo, le installazioni software, le configurazioni delle applicazioni e altri dettagli sull'ambiente.
CM-3 (3) Implementa le modifiche alla baseline di sistema corrente e distribuisci la baseline aggiornata nella base installata utilizzando [Assignment: organization-defined automated mechanisms].

ec2-stopped-instance

Attiva questa regola per aiutare con la configurazione di base delle istanze Amazon Elastic Compute Cloud (Amazon EC2) verificando se le istanze Amazon EC2 sono state arrestate per più del numero consentito di giorni, in base agli standard dell'organizzazione.
CM-3 (3) Implementa le modifiche alla baseline di sistema corrente e distribuisci la baseline aggiornata nella base installata utilizzando [Assignment: organization-defined automated mechanisms].

ec2-volume-inuse-check

Questa regola garantisce che i volumi di Amazon Elastic Block Store collegati alle istanze di Amazon Elastic Compute Cloud (Amazon EC2) vengano contrassegnati per l'eliminazione quando un'istanza viene terminata. Se un volume Amazon EBS non viene eliminato quando l'istanza a cui è collegata è terminata, potrebbe violare il concetto di funzionalità minima.
CM-3 (3) Implementa le modifiche alla baseline di sistema corrente e distribuisci la baseline aggiornata nella base installata utilizzando [Assignment: organization-defined automated mechanisms].

redshift-cluster-maintenancesettings-check

Questa regola garantisce che i cluster Amazon Redshift abbiano le impostazioni preferite per la tua organizzazione. Nello specifico, hanno finestre di manutenzione preferite e periodi di conservazione automatica delle istantanee per il database. Questa regola richiede di impostare ilallowVersionUpgrade. Il valore predefinito è true. Consente inoltre di impostare facoltativamentepreferredMaintenanceWindow(il valore predefinito è sat: 16:00 -sab: 16:30) e ilautomatedSnapshotRetentionPeriodo (il valore predefinito è 1). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

ec2-imdsv2 - controllo

Controlla che il metodo IMDSv2 (Instance Metadata Service Versione 2) sia abilitato per proteggere l'accesso e il controllo dei metadati dell'istanza Amazon Elastic Compute Cloud (Amazon EC2). Il metodo IMDSv2 utilizza controlli basati su sessione. Con IMDSv2, è possibile implementare controlli per limitare le modifiche ai metadati delle istanze.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

ecs-task-definition-user-per-host-mode check

Se una definizione di attività ha privilegi elevati, è perché il cliente ha specificamente optato per tali configurazioni. Questo controllo verifica la presenza di un'escalation imprevista dei privilegi quando una definizione di attività ha abilitato la rete host ma il cliente non ha optato per privilegi elevati.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-policy-no-statements-with-access

Assicurati che le azioni IAM siano limitate solo alle azioni necessarie. Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

access-keys-rotated

Le credenziali vengono controllate per dispositivi, utenti e processi autorizzati assicurando che le chiavi di accesso IAM vengano ruotate secondo i criteri organizzativi. La modifica delle chiavi di accesso su una pianificazione periodica è una procedura consigliata per la sicurezza. Riduce il periodo di attività di una chiave di accesso e riduce l'impatto aziendale in caso di compromissione delle chiavi. Questa regola richiede un valore di rotazione della chiave di accesso (Config Default: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-password-policy

Le identità e le credenziali vengono emesse, gestite e verificate in base a una policy organizzativa per le password IAM. Soddisfano o superano i requisiti stabiliti dal NIST SP 800-63 e dallo standard AWS Foundational Security Best Practices per la sicurezza della password. Questa regola permette l'impostazione facoltativaRequireUppercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireLowercasePersonaggi (valore delle Best Practices di AWS Foundational Security: true),RequireSymbols(Valore AWS Foundational Security Best Practices: true),RequireNumbers(Valore AWS Foundational Security Best Practices: true),MinimumPasswordLunghezza (valore delle best practice di AWS Foundational Security: 14),PasswordReusePrevenzione (valore delle best practice di AWS Foundational Security: 24) eMaxPasswordAge (valore delle best practice di AWS Foundational Security: 90) per la tua politica sulle password IAM. I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) può aiutarti a integrare i principi del minimo privilegio e la separazione delle funzioni con autorizzazioni e autorizzazioni di accesso, limitando le politiche di contenere «Effect»: «Consenti» con «Action»: «*» over «Resource»: «*». Consentire agli utenti di avere più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-root-access-key-check

L'accesso a sistemi e risorse può essere controllato controllando che l'utente root non disponga di chiavi di accesso collegate al ruolo AWS Identity and Access Management (IAM). Assicurarsi che le chiavi di accesso root siano eliminate. Invece, crea e utilizza account AWS basati sui ruoli per aiutare a integrare il principio della minima funzionalità.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-user-group-membership-check

AWS Identity and Access Management (IAM) può aiutarti a limitare le autorizzazioni e le autorizzazioni di accesso, assicurando che gli utenti IAM siano membri di almeno un gruppo. Consentire agli utenti più privilegi del necessario per completare un'attività può violare il principio del minimo privilegio e la separazione dei compiti.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-user-mfa-enabled

Abilita questa regola per limitare l'accesso alle risorse nel cloud AWS. Questa regola garantisce che l'autenticazione a più fattori (MFA) sia abilitata per tutti gli utenti IAM. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Riduci gli incidenti degli account compromessi richiedendo MFA per gli utenti IAM.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-user-no-policies-check

Questa regola garantisce che le policy AWS Identity and Access Management (IAM) siano collegate solo a gruppi o ruoli per controllare l'accesso a sistemi e risorse. L'assegnazione di privilegi a livello di gruppo o di ruolo aiuta a ridurre le opportunità per un'identità di ricevere o mantenere privilegi eccessivi.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) può aiutarti con le autorizzazioni e le autorizzazioni di accesso verificando la presenza di password IAM e chiavi di accesso che non vengono utilizzate per un determinato periodo di tempo. Se queste credenziali inutilizzate vengono identificate, è necessario disabilitare e/o rimuovere le credenziali, in quanto ciò potrebbe violare il principio del privilegio minimo. Questa regola richiede di impostare un valore sulmaxCredentialUsageEtà (impostazione Config: 90). Il valore effettivo dovrebbe riflettere le politiche della tua organizzazione.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

mfa-enabled-for-iam-console-access

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per tutti gli utenti di AWS Identity and Access Management (IAM) che dispongono di una password della console. MFA aggiunge un ulteriore livello di protezione su nome utente e password. Richiedendo MFA per gli utenti IAM, è possibile ridurre gli incidenti di account compromessi e impedire l'accesso ai dati sensibili da parte di utenti non autorizzati.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

root-account-hardware-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che l'MFA hardware sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

root-account-mfa-enabled

Gestisci l'accesso alle risorse nel cloud AWS assicurando che MFA sia abilitato per l'utente root. L'utente root è l'utente con il maggior numero di privilegi in un account AWS. MFA aggiunge un ulteriore livello di protezione per nome utente e password. Richiedendo MFA per l'utente root, è possibile ridurre gli incidenti degli account AWS compromessi.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

secretsmanager-rotation-enabled-check

Questa regola assicura che i segreti di AWS Secrets Manager abbiano abilitato la rotazione. La rotazione dei segreti in base a un programma regolare può ridurre il periodo di attività di un segreto e potenzialmente ridurre l'impatto aziendale se il segreto viene compromesso.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

secretsmanager-segreto-rotazione periodica

Inserendo i segreti possono aiutarti a ridurre il rischio di un utilizzo non autorizzato dei segreti, come le credenziali dei database, le password, le chiavi API di terza parte e anche le parti di testo arbitrario nel tuo account AWS. AWS Secret Manager ti consente di configurare i tuoi segreti per ruotare automaticamente. In questo modo puoi sostituire i segreti a lungo termine con altri a breve termine, riducendo il rischio di compromissione.
CM-5 (1) (a) (a) Applicare restrizioni di accesso utilizzando [Assegnazione: meccanismi automatizzati definiti dall'organizzazione];

secretsmanager-segreto-inutilizzato

I segreti inutilizzati possono essere abusati dai loro precedenti utenti che non hanno più bisogno di accedere a questi segreti. L'eliminazione di segreti inutilizzati può aiutare a revocare l'accesso segreto da parte di utenti che non ne hanno più bisogno.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

abilitato per il cloudtrail basato su più regioni

AWSCloudTrailregistra le azioni di AWS Management Console e le chiamate API. Puoi identificare quali utenti e account hanno richiamato AWS, l'indirizzo IP di origine da dove sono state effettuate le chiamate e quando sono avvenute. CloudTraildistribuirà i file di log da tutte le regioni AWS al bucket S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED è abilitato. Inoltre, quando AWS lancia una nuova regione,CloudTrailcreerà lo stesso sentiero nella nuova regione. Di conseguenza, riceverai file di registro contenenti attività API per la nuova regione senza intraprendere alcuna azione.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

wafv2-logging abilitato

Per agevolare la registrazione e il monitoraggio all'interno dell'ambiente, abilitare la registrazione AWS WAF (V2) su ACL web regionali e globali. La registrazione AWS WAF fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. I log di registrano il momento in cui AWS WAF ha ricevuto la richiesta dalla tua risorsa AWS, le informazioni sulla richiesta e un'operazione per il regolamento abbinato a ciascuna richiesta.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

api-gw-execution-logging-enabled

La registrazione API Gateway visualizza viste dettagliate degli utenti che hanno effettuato l'accesso all'API e il modo in cui hanno effettuato l'accesso all'API. Questo insight consente la visibilità delle attività degli utenti.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

cloud-trail-cloud-watch-logs-enabled

Utilizzo di Amazon AmazonCloudWatchper raccogliere e gestire centralmente l'attività degli eventi di log. Inclusione di AWSCloudTraili dati offrono la possibilità di visualizzare informazioni sull'attività delle chiamate API nell'account AWS.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

cloudtrail-enabled

AWSCloudTrailpuò aiutare a non ripudiare registrando le azioni della Console di gestione AWS e le chiamate API. È possibile identificare gli utenti e gli account AWS che hanno chiamato un servizio AWS, l'indirizzo IP di origine in cui sono state generate le chiamate e i tempi delle chiamate. I dettagli dei dati acquisiti sono visibili in AWSCloudTrailContenuto dei record.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

cloudtrail-s3-dataevents-enabled

La raccolta degli eventi dati Simple Storage Service (Amazon S3) aiuta a rilevare qualsiasi attività anomala. I dettagli includono informazioni sull'account AWS che hanno effettuato l'accesso a un bucket Amazon S3, un indirizzo IP e l'ora dell'evento.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

elb-logging-enabled

L'attività di Elastic Load Balancing è un punto centrale di comunicazione all'interno di un ambiente. Verificare che la registrazione ELB sia abilitato. I dati raccolti forniscono informazioni dettagliate sulle richieste inviate all'ELB. Ogni log contiene informazioni come l'ora in cui è stata ricevuta la richiesta, l'indirizzo IP del client, le latenze, i percorsi delle richieste e le risposte del server.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

rds-logging-enabled

Per aiutarti con la registrazione e il monitoraggio nell'ambiente, assicurati che la registrazione Amazon Relational Database Service (Amazon RDS) sia abilitato. Con la registrazione Amazon RDS, puoi acquisire eventi come connessioni, disconnessioni, query o tabelle richieste.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

redshift-cluster-configuration-check

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i cluster Amazon Redshift. È inoltre necessario assicurarsi che le configurazioni richieste siano distribuite sui cluster Amazon Redshift. La registrazione di audit deve essere abilitata per fornire informazioni su connessioni e attività degli utenti nel database. Questa regola richiede l'impostazione di un valore perclusterDbEncrypted(Config Default: TRUE) e loggingEnabled (Config Default: TRUE). I valori effettivi dovrebbero riflettere le politiche della tua organizzazione.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

s3-bucket-logging-enabled

La registrazione di accesso al server di Amazon Simple Storage Service (Amazon S3) fornisce un metodo per monitorare la rete per potenziali eventi di sicurezza informatica. Gli eventi sono monitorati acquisendo record dettagliati per le richieste che sono effettuate a un bucket Amazon S3. Ogni record del registro di accesso fornisce dettagli su una singola richiesta di accesso. I dettagli includono il richiedente, il nome del bucket, l'ora della richiesta, l'operazione della richiesta, lo stato della risposta e un codice di errore, se pertinente.
CM-5 (1) (b) (b) Genera automaticamente i record di audit delle azioni di esecuzione.

vpc-flow-logs-enabled

I log di flusso VPC forniscono informazioni dettagliate sul traffico IP diretto e proveniente dalle interfacce di rete nel Amazon Virtual Private Cloud (Amazon VPC). Per impostazione predefinita il record del log di flusso include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando [Assegnazione: configurazioni sicure comuni definite dall'organizzazione];

account-parte delle organizzazioni

La gestione centralizzata degli account AWS all'interno di AWS Organizations aiuta a garantire la conformità degli account. La mancanza di una governance centralizzata dell'account può portare a configurazioni di account incoerenti, che possono esporre risorse e dati sensibili.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando [Assegnazione: configurazioni sicure comuni definite dall'organizzazione];

autoscaling-launch-config-public-ip-disabled

Se si configurano le interfacce di rete con un indirizzo IP pubblico, le risorse associate a tali interfacce di rete sono raggiungibili da Internet. Le risorse EC2 non devono essere accessibili pubblicamente, in quanto ciò potrebbe consentire l'accesso non intenzionale alle applicazioni o ai server.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando [Assegnazione: configurazioni sicure comuni definite dall'organizzazione];

cmk-backing-key-rotation-enabled

Abilita la rotazione delle chiavi per garantire che le chiavi siano ruotate una volta che hanno raggiunto la fine del loro periodo di crittografia.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando [Assegnazione: configurazioni sicure comuni definite dall'organizzazione];

ec2-ebs-encryption-by-default

Per proteggere i dati inattivi, assicurati che la crittografia sia abilitata per i volumi Amazon Elastic Block Store (Amazon EBS). Poiché i dati sensibili possono esistere a riposo in questi volumi, abilitare la crittografia a riposo per proteggere tali dati.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando [Assegnazione: configurazioni sicure comuni definite dall'organizzazione];

profilo ec2-istance-allegato

I profili dell'istanza EC2 passano un ruolo IAM a un'istanza EC2. L'aggiunta di un profilo di istanza alle istanze può aiutare nella gestione dei privilegi e delle autorizzazioni minimi.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sistema che riflettono la modalità più restrittiva coerente con i requisiti operativi utilizzando [Assegnazione: configurazioni sicure comuni definite dall'organizzazione];

iam-no-inline-policy-check

Assicurati che un utente AWS Identity and Access Management (IAM), un ruolo IAM o un gruppo IAM non dispongano di una policy in linea per controllare l'accesso a sistemi e risorse. AWS consiglia di utilizzare le policy gestite anziché le policy inline. I criteri gestiti consentono la riutilizzabilità, il controllo delle versioni e il rollback e la gestione delle autorizzazioni di delega.
CM-6a a. Stabilire e documentare le impostazioni di configurazione per i componenti utilizzati all'interno del sist