Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS I controlli del Security Hub potrebbero non essere disponibili tutti Regioni AWS. Questa pagina specifica quali controlli non sono disponibili in regioni specifiche. Un controllo non viene visualizzato nell'elenco dei controlli sulla console Security Hub se non è disponibile nella regione a cui hai effettuato l'accesso.
Regioni AWS
Stati Uniti orientali (Virginia settentrionale)
I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Virginia settentrionale).
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
Stati Uniti orientali (Ohio)
I seguenti controlli non sono supportati nella regione Stati Uniti orientali (Ohio).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Stati Uniti occidentali (California settentrionale)
I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (California settentrionale).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
US West (Oregon)
I seguenti controlli non sono supportati nella regione Stati Uniti occidentali (Oregon).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Africa (Città del Capo)
I seguenti controlli non sono supportati nella regione Africa (Città del Capo).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
Asia Pacifico (Hong Kong)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Hong Kong).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacific (Hyderabad)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Hyderabad).
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Giacarta)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Giacarta).
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Malesia)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Malesia).
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DataSync.1] DataSync le attività devono avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
-
[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
-
[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati quando sono inattivi
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ
-
[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni avanzate
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee
-
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
-
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
-
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[SSM.1] Le EC2 istanze Amazon devono essere gestite da AWS Systems Manager
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Melbourne)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Melbourne).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Mumbai)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Mumbai).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Asia Pacifico (Osaka-Locale)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Osaka).
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
-
[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
-
[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Seoul)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Seoul).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Asia Pacifico (Singapore)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Singapore).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Asia Pacifico (Sydney)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Sydney).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Asia Pacifico (Tailandia)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Tailandia).
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
-
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[DataSync.1] DataSync le attività devono avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.35] le interfacce EC2 di rete devono essere etichettate
-
[EC2.36] I gateway per i EC2 clienti devono essere etichettati
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.42] le tabelle delle EC2 rotte devono essere etichettate
-
[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
-
[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
-
[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.15] Le definizioni delle attività ECS devono essere etichettate
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati quando sono inattivi
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
-
[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
-
[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
-
[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni avanzate
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.3] AWS KMS keys non deve essere eliminato involontariamente
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee
-
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee
-
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
-
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
-
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SSM.1] Le EC2 istanze Amazon devono essere gestite da AWS Systems Manager
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Asia Pacifico (Tokyo)
I seguenti controlli non sono supportati nella regione Asia Pacifico (Tokyo).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Canada (Centrale)
I seguenti controlli non sono supportati nella regione Canada (Centrale).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Canada occidentale (Calgary)
I seguenti controlli non sono supportati nella regione Canada occidentale (Calgary).
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DataSync.1] DataSync le attività devono avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
-
[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
-
[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati quando sono inattivi
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ
-
[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni avanzate
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee
-
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito
-
[RDS.40] Le istanze DB di RDS per SQL Server devono pubblicare i log nei log CloudWatch
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
-
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
-
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[SSM.1] Le EC2 istanze Amazon devono essere gestite da AWS Systems Manager
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Cina (Pechino)
I seguenti controlli non sono supportati nella regione Cina (Pechino).
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
-
[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici
-
[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.35] le interfacce EC2 di rete devono essere etichettate
-
[EC2.36] I gateway per i EC2 clienti devono essere etichettati
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.42] le tabelle delle EC2 rotte devono essere etichettate
-
[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECS.15] Le definizioni delle attività ECS devono essere etichettate
-
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
-
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
-
[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
-
[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Cina (Ningxia)
I seguenti controlli non sono supportati nella regione Cina (Ningxia).
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
-
[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici
-
[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.35] le interfacce EC2 di rete devono essere etichettate
-
[EC2.36] I gateway per i EC2 clienti devono essere etichettati
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.42] le tabelle delle EC2 rotte devono essere etichettate
-
[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECS.15] Le definizioni delle attività ECS devono essere etichettate
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
-
[Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
-
[RDS.9] Le istanze DB RDS devono pubblicare i log nei registri CloudWatch
-
[RDS.10] L'autenticazione IAM deve essere configurata per le istanze RDS
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
-
[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
Europa (Francoforte)
I seguenti controlli non sono supportati nella regione Europa (Francoforte).
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Europa (Irlanda)
I seguenti controlli non sono supportati nella regione Europa (Irlanda).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Europa (Londra)
I seguenti controlli non sono supportati nella regione Europa (Londra).
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
Europa (Milano)
I seguenti controlli non sono supportati nella regione Europa (Milano).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Parigi)
I seguenti controlli non sono supportati nella regione Europa (Parigi).
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Spagna)
I seguenti controlli non sono supportati nella regione Europa (Spagna).
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.1] Gli snapshot di Amazon EBS non devono essere ripristinabili pubblicamente
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.15] I bucket generici S3 devono avere Object Lock abilitato
-
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Stoccolma)
I seguenti controlli non sono supportati nella regione Europa (Stoccolma).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Europa (Zurigo)
I seguenti controlli non sono supportati nella regione Europa (Zurigo).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Israele (Tel Aviv)
I seguenti controlli non sono supportati nella regione di Israele (Tel Aviv).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i casi VPCs
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
-
[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
-
[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.8] I file system EFS devono essere crittografati quando sono inattivi
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni avanzate
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
[RDS.7] I cluster RDS devono avere la protezione da eliminazione abilitata
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Messico (centrale)
I seguenti controlli non sono supportati nella regione Messico (Centrale).
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
-
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[DataSync.1] DataSync le attività devono avere la registrazione abilitata
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.35] le interfacce EC2 di rete devono essere etichettate
-
[EC2.36] I gateway per i EC2 clienti devono essere etichettati
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.42] le tabelle delle EC2 rotte devono essere etichettate
-
[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per l'API ECR
-
[EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry
-
[EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EC2.171] Le connessioni EC2 VPN devono avere la registrazione abilitata
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECS.2] Ai servizi ECS non devono essere assegnati automaticamente indirizzi IP pubblici
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.15] Le definizioni delle attività ECS devono essere etichettate
-
[ECS.16] I set di attività ECS non devono assegnare automaticamente indirizzi IP pubblici
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EFS.6] I target di montaggio EFS non devono essere associati a una sottorete pubblica
-
[EFS.7] I file system EFS devono avere i backup automatici abilitati
-
[EFS.8] I file system EFS devono essere crittografati quando sono inattivi
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
-
[ELB.7] I Classic Load Balancer devono avere il drenaggio della connessione abilitato
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata
-
[ES.2] I domini Elasticsearch non devono essere accessibili al pubblico
-
[ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi
-
[ES.5] I domini Elasticsearch devono avere la registrazione di controllo abilitata
-
[ES.6] I domini Elasticsearch devono avere almeno tre nodi di dati
-
[ES.7] I domini Elasticsearch devono essere configurati con almeno tre nodi master dedicati
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
-
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.7] Le politiche relative alle password per gli utenti IAM devono avere configurazioni avanzate
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
-
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
-
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
-
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
-
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato
-
[KMS.3] AWS KMS keys non deve essere eliminato involontariamente
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee
-
[RDS.17] Le istanze DB RDS devono essere configurate per copiare i tag nelle istantanee
-
[RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[RDS.36] Le istanze DB di RDS per PostgreSQL devono pubblicare i log nei log CloudWatch
-
[RDS.37] I cluster Aurora PostgreSQL DB devono pubblicare i log nei log CloudWatch
-
[RDS.38] Le istanze DB di RDS per PostgreSQL devono essere crittografate in transito
-
[RDS.39] Le istanze DB di RDS per MySQL devono essere crittografate in transito
-
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
-
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
-
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
-
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Redshift.16] I sottoreti del cluster Redshift devono avere sottoreti da più zone di disponibilità
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
-
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
-
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
-
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
-
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SSM.1] Le EC2 istanze Amazon devono essere gestite da AWS Systems Manager
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Medio Oriente (Bahrein)
I seguenti controlli non sono supportati nella regione Medio Oriente (Bahrein).
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN dovrebbero essere attivi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[ECR.5] I repository ECR devono essere crittografati e gestiti dal cliente AWS KMS keys
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.3] FSx per i file system OpenZFS deve essere configurato per l'implementazione Multi-AZ
-
[FSx.4] FSx per i file system NetApp ONTAP deve essere configurato per l'implementazione Multi-AZ
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[Transfer.3] I connettori Transfer Family devono avere la registrazione abilitata
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Medio Oriente (Emirati Arabi Uniti)
I seguenti controlli non sono supportati nella regione del Medio Oriente (Emirati Arabi Uniti).
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Backup.1] i punti di AWS Backup ripristino devono essere crittografati a riposo
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DMS.10] Gli endpoint DMS per i database Neptune devono avere l'autorizzazione IAM abilitata
-
[DMS.11] Gli endpoint DMS per MongoDB devono avere un meccanismo di autenticazione abilitato
-
[DMS.12] Gli endpoint DMS per Redis OSS devono avere TLS abilitato
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.4] Le EC2 istanze interrotte devono essere rimosse dopo un periodo di tempo specificato
-
[EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2
-
[EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
-
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
-
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
-
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
-
[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto
-
[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM
-
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess
-
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
-
[Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software
-
I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS
-
[SQS.1] Le code di Amazon SQS devono essere crittografate quando sono inattive
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[SSM.1] Le EC2 istanze Amazon devono essere gestite da AWS Systems Manager
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
Sud America (San Paolo)
I seguenti controlli non sono supportati nella regione Sud America (San Paolo).
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
AWS GovCloud (Stati Uniti orientali)
I seguenti controlli non sono supportati nella regione AWS GovCloud (Stati Uniti orientali).
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
-
[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
-
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Connect.2] Le istanze Amazon Connect devono avere la registrazione abilitata CloudWatch
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici
-
[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi
-
[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.35] le interfacce EC2 di rete devono essere etichettate
-
[EC2.36] I gateway per i EC2 clienti devono essere etichettati
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.42] le tabelle delle EC2 rotte devono essere etichettate
-
[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.15] Le definizioni delle attività ECS devono essere etichettate
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
-
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
-
[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[SageMaker.1] Le istanze di SageMaker notebook Amazon non devono avere accesso diretto a Internet
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
-
[WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi
-
[WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi
AWS GovCloud (Stati Uniti occidentali)
I seguenti controlli non sono supportati nella regione AWS GovCloud (Stati Uniti occidentali).
-
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
-
[Account.2] Account AWS deve far parte di un'organizzazione AWS Organizations
-
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
-
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
-
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
-
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
-
[AppConfig.1] AWS AppConfig le applicazioni devono essere etichettate
-
[AppConfig.2] i profili AWS AppConfig di configurazione devono essere etichettati
-
[AppConfig.3] AWS AppConfig gli ambienti devono essere etichettati
-
[AppConfig.4] le associazioni di AWS AppConfig estensioni devono essere etichettate
-
[AppFlow.1] I AppFlow flussi Amazon devono essere etichettati
-
[AppRunner.1] I servizi App Runner devono essere etichettati
-
[AppRunner.2] I connettori VPC App Runner devono essere etichettati
-
[AppSync.1] Le cache AWS AppSync delle API devono essere crittografate quando sono inattive
-
[AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata
-
[AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato
-
[AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API
-
[AppSync.6] Le cache delle AWS AppSync API devono essere crittografate in transito
-
[Athena.2] I cataloghi di dati Athena devono essere etichettati
-
[Athena.3] I gruppi di lavoro Athena devono essere etichettati
-
[AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità
-
[AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2
-
[AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati
-
[Backup.2] i punti di AWS Backup ripristino devono essere etichettati
-
[Backup.4] i piani di AWS Backup report devono essere etichettati
-
[Backup.5] i piani di AWS Backup backup devono essere etichettati
-
[Batch.1] Le code di processi in batch devono essere etichettate
-
[Batch.2] Le politiche di pianificazione dei batch devono essere etichettate
-
[Batch.3] Gli ambienti di calcolo in batch devono essere etichettati
-
[CloudFormation.2] CloudFormation gli stack devono essere etichettati
-
[CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato
-
[CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito
-
[CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine
-
[CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata
-
[CloudFront.6] le CloudFront distribuzioni devono avere WAF abilitato
-
[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati SSL/TLS personalizzati
-
[CloudFront.8] le CloudFront distribuzioni devono utilizzare SNI per soddisfare le richieste HTTPS
-
[CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti
-
[CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine
-
[CloudFront.14] le distribuzioni devono essere etichettate CloudFront
-
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
-
[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
-
[CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
-
[CodeArtifact.1] i CodeArtifact repository devono essere etichettati
-
[CodeBuild.3] I log CodeBuild S3 devono essere crittografati
-
[CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config
-
[CodeGuruProfiler.1] I gruppi di CodeGuru profilazione Profiler devono essere etichettati
-
[CodeGuruReviewer.1] Le associazioni dei repository dei CodeGuru revisori devono essere etichettate
-
[Connect.1] I tipi di oggetto Amazon Connect Customer Profiles devono essere etichettati
-
[Detective.1] I grafici del comportamento dei Detective devono essere etichettati
-
[DMS.3] Le sottoscrizioni agli eventi DMS devono essere contrassegnate
-
[DMS.4] Le istanze di replica DMS devono essere contrassegnate
-
[DMS.5] I gruppi di sottoreti di replica DMS devono essere etichettati
-
[DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi
-
[DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche
-
[DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch
-
[DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata
-
[DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda
-
[DynamoDB.3] I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi
-
[DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup
-
[DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito
-
[EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici
-
[EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi
-
[EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs
-
[EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi
-
[EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati
-
[EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche
-
[EC2.28] I volumi EBS devono essere coperti da un piano di backup
-
[EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati
-
[EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate
-
[EC2.35] le interfacce EC2 di rete devono essere etichettate
-
[EC2.36] I gateway per i EC2 clienti devono essere etichettati
-
[EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati
-
[EC2.42] le tabelle delle EC2 rotte devono essere etichettate
-
[EC2.43] i gruppi EC2 di sicurezza devono essere etichettati
-
[EC2.47] I servizi endpoint Amazon VPC devono essere etichettati
-
[EC2.48] I log di flusso di Amazon VPC devono essere etichettati
-
[EC2.49] Le connessioni peering Amazon VPC devono essere etichettate
-
[EC2.52] i gateway di EC2 transito devono essere etichettati
-
[EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2
-
[ECR.1] Gli archivi privati ECR devono avere la scansione delle immagini configurata
-
[ECR.2] I repository privati ECR devono avere l'immutabilità dei tag configurata
-
[ECR.3] I repository ECR devono avere almeno una politica del ciclo di vita configurata
-
[ECS.4] I contenitori ECS devono essere eseguiti come non privilegiati
-
[ECS.5] I contenitori ECS devono essere limitati all'accesso in sola lettura ai filesystem root
-
[ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore
-
[ECS.9] Le definizioni delle attività ECS devono avere una configurazione di registrazione
-
[ECS.15] Le definizioni delle attività ECS devono essere etichettate
-
[EFS.2] I volumi Amazon EFS devono essere inclusi nei piani di backup
-
[EFS.3] I punti di accesso EFS devono applicare una directory principale
-
[EFS.4] I punti di accesso EFS devono applicare un'identità utente
-
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico
-
[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata
-
[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate
-
[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata
-
I cluster [ElastiCache.1] ElastiCache (Redis OSS) devono avere i backup automatici abilitati
-
[ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato
-
[ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi
-
[ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito
-
[ElastiCache.7] ElastiCache i cluster non devono utilizzare il gruppo di sottoreti predefinito
-
[ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch
-
[ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità
-
[ELB.16] Gli Application Load Balancer devono essere associati a un ACL web AWS WAF
-
[EMR.2] L'impostazione di accesso pubblico a blocchi di Amazon EMR deve essere abilitata
-
[EMR.4] Le configurazioni di sicurezza di Amazon EMR devono essere crittografate in transito
-
[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati
-
[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata
-
[FraudDetector.1] I tipi di entità Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.2] Le etichette di Amazon Fraud Detector devono essere etichettate
-
[FraudDetector.3] I risultati di Amazon Fraud Detector devono essere etichettati
-
[FraudDetector.4] Le variabili di Amazon Fraud Detector devono essere etichettate
-
[FSx.1] FSx per i file system OpenZFS deve essere configurato per copiare i tag su backup e volumi
-
[FSx.2] FSx per i file system Lustre devono essere configurati per copiare i tag nei backup
-
[GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati
-
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
-
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
-
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
-
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
-
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
-
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
-
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
-
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
-
[IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati
-
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
-
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
-
[IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati
-
[IoT.2] le azioni di AWS IoT Core mitigazione devono essere etichettate
-
[IoT.3] le AWS IoT Core dimensioni devono essere etichettate
-
gli AWS IoT Core autorizzatori [IoT.4] devono essere etichettati
-
[IoT.5] gli alias dei AWS IoT Core ruoli devono essere etichettati
-
[Io TEvents .1] Gli input di AWS IoT Events devono essere etichettati
-
[Io TEvents .2] I modelli di rilevatori AWS IoT Events devono essere etichettati
-
[Io TEvents .3] I modelli di allarme AWS IoT Events devono essere etichettati
-
[Io TSite Wise.1] I modelli di SiteWise asset AWS IoT devono essere etichettati
-
[Io TSite Wise.2] Le SiteWise dashboard AWS IoT devono essere etichettate
-
[Io TSite Wise.3] I SiteWise gateway AWS IoT devono essere etichettati
-
[Io TSite Wise.4] I SiteWise portali AWS IoT devono essere etichettati
-
[Io TSite Wise.5] I SiteWise progetti AWS IoT devono essere etichettati
-
[Io TTwin Maker.1] I lavori di TwinMaker sincronizzazione AWS IoT devono essere etichettati
-
[Io TTwin Maker.2] Gli spazi di TwinMaker lavoro AWS IoT devono essere etichettati
-
[Io TTwin Maker.3] Le TwinMaker scene AWS IoT devono essere etichettate
-
[Io TTwin Maker.4] Le TwinMaker entità AWS IoT devono essere etichettate
-
[Io TWireless .1] I gruppi multicast AWS IoT Wireless devono essere etichettati
-
[Io TWireless .2] I profili dei servizi AWS IoT Wireless devono essere etichettati
-
[Io TWireless .3] Le attività AWS IOT FUOTA devono essere etichettate
-
[IVS.1] Le coppie di chiavi di riproduzione IVS devono essere etichettate
-
[IVS.2] Le configurazioni di registrazione IVS devono essere contrassegnate
-
[Keyspaces.1] Gli spazi chiave di Amazon Keyspaces devono essere etichettati
-
[Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi
-
[KMS.5] Le chiavi KMS non devono essere accessibili al pubblico
-
[Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
-
[Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato
-
[MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby
-
[MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster
-
[MSK.1] I cluster MSK devono essere crittografati durante il transito tra i nodi del broker
-
[MSK.2] I cluster MSK dovrebbero avere configurato un monitoraggio avanzato
-
[MSK.3] I connettori MSK Connect devono essere crittografati in transito
-
[Neptune.1] I cluster Neptune DB devono essere crittografati a riposo
-
[Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch
-
[Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche
-
[Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata
-
[Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati
-
[Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive
-
[Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata
-
[Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee
-
[Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità
-
[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
-
[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
-
[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
-
[NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
-
[NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
-
[NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
-
I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata
-
I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico
-
I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi
-
I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata
-
I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati
-
I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato
-
I OpenSearch domini [Opensearch.9] devono essere etichettati
-
L'autorità di certificazione AWS Private CA principale [PCA.1] deve essere disabilitata
-
[PCA.2] Le autorità di certificazione CA AWS private devono essere etichettate
-
[RDS.12] L'autenticazione IAM deve essere configurata per i cluster RDS
-
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
-
[RDS.14] I cluster Amazon Aurora devono avere il backtracking abilitato
-
[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità
-
[RDS.24] I cluster di database RDS devono utilizzare un nome utente di amministratore personalizzato
-
[RDS.25] Le istanze del database RDS devono utilizzare un nome utente amministratore personalizzato
-
[RDS.26] Le istanze DB RDS devono essere protette da un piano di backup
-
[RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi
-
[RDS.29] Gli snapshot del cluster RDS DB devono essere etichettati
-
[RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati
-
[RDS.33] I gruppi di sottoreti RDS DB devono essere etichettati
-
[RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch
-
[Redshift.7] I cluster Redshift devono utilizzare un routing VPC avanzato
-
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
-
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
-
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate
-
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
-
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
-
[Route53.1] I controlli sanitari della Route 53 devono essere etichettati
-
[Route53.2] Le zone ospitate pubbliche di Route 53 devono registrare le query DNS
-
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
-
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
-
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
-
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
-
[S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita
-
[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
-
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
-
[SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato
-
[SageMaker.3] Gli utenti non devono avere accesso root alle SageMaker istanze dei notebook
-
[SageMaker.5] i SageMaker modelli dovrebbero bloccare il traffico in entrata
-
[SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager
-
[SecretsManager.5] I segreti di Secrets Manager devono essere etichettati
-
[SES.1] Gli elenchi di contatti SES devono essere etichettati
-
[SES.2] I set di configurazione SES devono essere etichettati
-
[SNS.4] Le politiche di accesso agli argomenti SNS non dovrebbero consentire l'accesso pubblico
-
[SQS.3] Le politiche di accesso alla coda SQS non devono consentire l'accesso pubblico
-
[StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata
-
[StepFunctions.2] Le attività di Step Functions devono essere etichettate
-
I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati
-
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
-
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
-
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
-
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
-
[WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
-
[WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
-
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
