Limiti regionali sui controlli del Security Hub

La maggior parte dei controlli del AWS Security Hub è disponibile solo in alcune versioni Regioni AWS. Questa pagina mostra quali controlli non sono disponibili in ogni regione. Un controllo non viene visualizzato nell'elenco dei controlli nella console Security Hub se non è disponibile nella regione a cui hai effettuato l'accesso. L'eccezione è se hai effettuato l'accesso a una regione di aggregazione. In tal caso, puoi visualizzare i controlli disponibili nella regione di aggregazione o in una o più regioni collegate.

Indice

• Stati Uniti orientali (Virginia settentrionale)
• Stati Uniti orientali (Ohio)
• Stati Uniti occidentali (California settentrionale)
• US West (Oregon)
• Africa (Città del Capo)
• Asia Pacifico (Hong Kong)
• Asia Pacifico (Giacarta)
• Asia Pacific (Hyderabad)
• Asia Pacifico (Malesia)
• Asia Pacifico (Melbourne)
• Asia Pacifico (Mumbai)
• Asia Pacifico (Osaka-Locale)
• Asia Pacifico (Seoul)
• Asia Pacifico (Singapore)
• Asia Pacifico (Sydney)
• Asia Pacifico (Tokyo)
• Canada (Centrale)
• Cina (Pechino)
• Cina (Ningxia)
• Europa (Francoforte)
• Europa (Irlanda)
• Europa (Londra)
• Europa (Milano)
• Europa (Parigi)
• Europa (Spagna)
• Europa (Stoccolma)
• Europa (Zurigo)
• Israele (Tel Aviv)
• Medio Oriente (Bahrein)
• Medio Oriente () UAE
• Sud America (San Paolo)
• AWS GovCloud (Stati Uniti orientali)
• AWS GovCloud (Stati Uniti occidentali)

Stati Uniti orientali (Virginia settentrionale)

I seguenti controlli non sono supportati negli Stati Uniti orientali (Virginia settentrionale).

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

Stati Uniti orientali (Ohio)

I seguenti controlli non sono supportati negli Stati Uniti orientali (Ohio).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Stati Uniti occidentali (California settentrionale)

I seguenti controlli non sono supportati negli Stati Uniti occidentali (California settentrionale).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

US West (Oregon)

I seguenti controlli non sono supportati negli Stati Uniti occidentali (Oregon).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Africa (Città del Capo)

I seguenti controlli non sono supportati in Africa (Città del Capo).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.12] Amazon non utilizzato EC2 EIPs deve essere rimosso

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

Asia Pacifico (Hong Kong)

I seguenti controlli non sono supportati in Asia Pacifico (Hong Kong).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Asia Pacifico (Giacarta)

I seguenti controlli non sono supportati in Asia Pacifico (Giacarta).

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.1] Il API gateway REST e la registrazione WebSocket API dell'esecuzione devono essere abilitati

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.3] I log CodeBuild S3 devono essere crittografati

• [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [Glue.2] AWS Glue i lavori dovrebbero avere la registrazione abilitata

• [Glue.3] AWS Glue le trasformazioni dell'apprendimento automatico devono essere crittografate quando sono inattive

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico

• [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi all'interno di un AWS solo organizzazione

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Asia Pacific (Hyderabad)

I seguenti controlli non sono supportati in Asia Pacifico (Hyderabad).

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

• [CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.85] VPCs deve essere configurato con un endpoint di interfaccia per AI studio SageMaker

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.115] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EMR

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.152] VPCs deve essere configurato con un endpoint di interfaccia per Serverless EMR

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.5] La registrazione di Application e Classic Load Balancers deve essere abilitata

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [RDS.2] Le istanze RDS DB dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

• [Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico

• [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS

• [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Asia Pacifico (Malesia)

I seguenti controlli non sono supportati in Asia Pacifico (Malesia).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [ACM.2] RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

• [ACM.3] ACM i certificati devono essere etichettati

• [Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.1] Il API gateway REST e la registrazione WebSocket API dell'esecuzione devono essere abilitati

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [APIGateway.5] I dati REST API della cache del API gateway devono essere crittografati quando sono inattivi

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata

• [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato

• [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.2] I cataloghi di dati Athena devono essere etichettati

• [Athena.3] I gruppi di lavoro Athena devono essere etichettati

• [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

• [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB

• [AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità

• [AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2

• [AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità

• [AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.3] AWS Backup le casseforti devono essere etichettate

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [Backup.5] AWS Backup i piani di backup devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

• [CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

• [CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.3] I log CodeBuild S3 devono essere crittografati

• [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi

• [DataSync.1] DataSync le attività devono avere la registrazione abilitata

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.6] Le tabelle DynamoDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.52] i gateway di EC2 transito devono essere etichettati

• [EC2.53] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

• [EC2.54] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

• [EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per ECR API

• [EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry

• [EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.62] VPCs deve essere configurato con un endpoint di interfaccia per Logs CloudWatch

• [EC2.63] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Messages

• [EC2.64] VPCs deve essere configurato con un endpoint di interfaccia per il servizio di consegna dei messaggi

• [EC2.65] VPCs deve essere configurato con un endpoint di interfaccia per Secrets Manager

• [EC2.66] VPCs deve essere configurato con un endpoint di interfaccia per Gateway API

• [EC2.67] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.68] VPCs deve essere configurato con un endpoint di interfaccia per AWS KMS

• [EC2.69] VPCs deve essere configurato con un endpoint di interfaccia per SQS

• [EC2.70] VPCs deve essere configurato con un endpoint di interfaccia per STS

• [EC2.71] VPCs deve essere configurato con un endpoint di interfaccia per SNS

• [EC2.72] VPCs deve essere configurato con un endpoint di interfaccia per S3

• [EC2.73] VPCs deve essere configurato con un endpoint di interfaccia per Lambda

• [EC2.74] VPCs deve essere configurato con un endpoint di interfaccia per ECS

• [EC2.75] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Load Balancing

• [EC2.76] VPCs deve essere configurato con un endpoint di interfaccia per CloudFormation

• [EC2.77] VPCs deve essere configurato con un endpoint di interfaccia per EventBridge

• [EC2.78] VPCs deve essere configurato con un endpoint di interfaccia per EC2 Auto Scaling

• [EC2.79] VPCs deve essere configurato con un endpoint di interfaccia per AI SageMaker API

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.82] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.84] VPCs deve essere configurato con un endpoint di interfaccia per notebook AI SageMaker

• [EC2.85] VPCs deve essere configurato con un endpoint di interfaccia per AI studio SageMaker

• [EC2.86] VPCs deve essere configurato con un endpoint di interfaccia per AWS Glue

• [EC2.87] VPCs deve essere configurato con un endpoint di interfaccia per Kinesis Data Streams

• [EC2.88] VPCs deve essere configurato con un endpoint di interfaccia per Transfer Family for SFTP

• [EC2.89] VPCs deve essere configurato con un endpoint di interfaccia per CloudTrail

• [EC2.90] VPCs deve essere configurato con un endpoint di interfaccia per RDS

• [EC2.91] VPCs deve essere configurato con un endpoint di interfaccia per Agent ECS

• [EC2.92] VPCs deve essere configurato con un endpoint di interfaccia per la telemetria ECS

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.95] VPCs deve essere configurato con un endpoint di interfaccia per EFS

• [EC2.96] VPCs deve essere configurato con un endpoint di interfaccia per Athena

• [EC2.97] VPCs deve essere configurato con un endpoint di interfaccia per Firehose

• [EC2.98] VPCs deve essere configurato con un endpoint di interfaccia per Step Functions

• [EC2.99] VPCs deve essere configurato con un endpoint di interfaccia per Storage Gateway

• [EC2.100] VPCs deve essere configurato con un endpoint di interfaccia per Amazon MWAA

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.102] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.105] VPCs deve essere configurato con un endpoint di interfaccia per DataSync

• [EC2.106] VPCs deve essere configurato con un endpoint di interfaccia per CodePipeline

• [EC2.107] VPCs deve essere configurato con un endpoint di interfaccia per EKS

• [EC2.108] VPCs deve essere configurato con un endpoint di interfaccia per Direct EBS APIs

• [EC2.109] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.110] VPCs deve essere configurato con un endpoint di interfaccia per X-Ray

• [EC2.111] VPCs deve essere configurato con un endpoint di interfaccia per CodeBuild

• [EC2.112] VPCs deve essere configurato con un endpoint di interfaccia per AWS Config

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.114] VPCs deve essere configurato con un endpoint di interfaccia per Service Catalog

• [EC2.115] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EMR

• [EC2.116] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.119] VPCs deve essere configurato con un endpoint di interfaccia per AWS Private CA

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.126] VPCs deve essere configurato con un endpoint di interfaccia per Application Auto Scaling

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.131] VPCs deve essere configurato con un endpoint di interfaccia per EFS

• [EC2.132] VPCs deve essere configurato con un endpoint di interfaccia per AWS Backup

• [EC2.133] VPCs deve essere configurato con un endpoint di interfaccia per DMS

• [EC2.134] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.140] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift Data API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.143] VPCs deve essere configurato con un endpoint di interfaccia per AWS MGN

• [EC2.144] VPCs deve essere configurato con un endpoint di interfaccia per Image Builder

• [EC2.145] VPCs deve essere configurato con un endpoint di interfaccia per Step Functions

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.149] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EKS

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.152] VPCs deve essere configurato con un endpoint di interfaccia per Serverless EMR

• [EC2.153] VPCs dovrebbe essere configurato con un endpoint di interfaccia per Lake Formation

• [EC2.154] VPCs deve essere configurato con un endpoint di interfaccia per Amazon FSx

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.159] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Disaster Recovery

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.167] VPCs deve essere configurato con un endpoint di interfaccia per DynamoDB

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Access Analyzer

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [EC2.171] EC2 VPN le connessioni devono avere la registrazione abilitata

• [ECR.1] I repository ECR privati dovrebbero avere la scansione delle immagini configurata

• [ECR.2] I repository ECR privati devono avere configurata l'immutabilità dei tag

• [ECR.3] I ECR repository devono avere almeno una politica del ciclo di vita configurata

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.3] le definizioni delle ECS attività non devono condividere lo spazio dei nomi dei processi dell'host

• [ECS.4] ECS I contenitori devono essere eseguiti come non privilegiati

• [ECS.5] ECS I contenitori devono essere limitati all'accesso in sola lettura ai filesystem root

• [ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate

• [ECS.12] ECS i cluster devono utilizzare Container Insights

• [ECS.16] i set di ECS attività non devono assegnare automaticamente indirizzi IP pubblici

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [EFS.3] i punti di EFS accesso devono applicare una directory principale

• [EFS.4] i punti di EFS accesso devono imporre l'identità di un utente

• [EFS.5] i punti di EFS accesso devono essere etichettati

• [EFS.6] gli obiettivi di EFS montaggio non devono essere associati a una sottorete pubblica

• [EFS.7] i EFS file system devono avere i backup automatici abilitati

• [EFS.8] i EFS file system devono essere crittografati quando sono inattivi

• [EKS.1] gli endpoint EKS del cluster non dovrebbero essere accessibili al pubblico

• [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata

• [EKS.3] i EKS cluster devono utilizzare segreti Kubernetes criptati

• [EKS.6] EKS i cluster devono essere etichettati

• [EKS.7] le configurazioni dei provider di EKS identità devono essere contrassegnate

• [EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità

• [ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.2] ElastiCache (RedisOSS) i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

• [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [ES.9] I domini Elasticsearch devono essere etichettati

• [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

• [FSx.2] FSx per i file system Lustre deve essere configurato per copiare i tag nei backup

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [Glue.2] AWS Glue i lavori dovrebbero avere la registrazione abilitata

• [Glue.3] AWS Glue le trasformazioni dell'apprendimento automatico devono essere crittografate quando sono inattive

• [GuardDuty.1] GuardDuty dovrebbe essere abilitato

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati

• [GuardDuty.5] Il monitoraggio GuardDuty EKS dei log di controllo deve essere abilitato

• [GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata

• [GuardDuty.7] Il monitoraggio del GuardDuty EKS runtime deve essere abilitato

• [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.10] Le politiche relative alle password per IAM gli utenti dovrebbero avere durate elevate AWS Config

• [IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola

• [IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola

• [IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo

• [IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero

• [IAM.15] Assicurati che IAM la politica sulle password richieda una lunghezza minima della password pari o superiore a 14

• [IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password

• [IAM.17] Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi

• [Kinesis.2] Gli stream Kinesis devono essere etichettati

• [Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [KMS.3] non AWS KMS keys deve essere eliminato involontariamente

• [KMS.5] KMS le chiavi non devono essere accessibili al pubblico

• [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker

• [MSK.2] i MSK cluster dovrebbero avere configurato un monitoraggio avanzato

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata

• [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato

• [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi

• [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati

• [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto

• [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati

• [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate

• [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [PCA.1] AWS Private CA l'autorità di certificazione principale deve essere disabilitata

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.17] Le istanze RDS DB devono essere configurate per copiare i tag nelle istantanee

• Le RDS istanze [RDS.18] devono essere distribuite in un VPC

• RDSLe istanze [RDS.23] non devono utilizzare una porta predefinita del motore di database

• [RDS.24] I cluster di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.25] le istanze di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

• [RDS.30] Le istanze RDS DB devono essere etichettate

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.32] Gli snapshot RDS DB devono essere etichettati

• [RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [RDS.36] RDS per le istanze DB di Postgres devono pubblicare i log in SQL Logs CloudWatch

• [RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

• [Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico

• [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata

• [Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore

• [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Redshift.11] I cluster Redshift devono essere etichettati

• [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate

• [Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni

• [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita

• [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate

• [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3

• [S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita

• [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys

• [S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.20] I bucket generici S3 dovrebbero avere l'opzione di cancellazione abilitata MFA

• [S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto

• [S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SageMaker AI.4] Le varianti di produzione di endpoint SageMaker AI devono avere un numero iniziale di istanze superiore a 1

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SecretsManager.1] I segreti di Secrets Manager devono avere la rotazione automatica abilitata

• [SecretsManager.2] I segreti di Secrets Manager configurati con rotazione automatica dovrebbero ruotare correttamente

• [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

• [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

• [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi all'interno di un AWS solo organizzazione

• [SNS.4] le politiche di accesso agli SNS argomenti non dovrebbero consentire l'accesso pubblico

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [SSM.4] SSM i documenti non devono essere pubblici

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati

• [Transfer.2] I server Transfer Family non devono utilizzare il FTP protocollo per la connessione agli endpoint

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WAF.12] AWS WAF le regole devono avere le metriche abilitate CloudWatch

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Asia Pacifico (Melbourne)

I seguenti controlli non sono supportati in Asia Pacifico (Melbourne).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata

• [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

• [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.1] Le EBS istantanee di Amazon non devono essere ripristinabili pubblicamente

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.84] VPCs deve essere configurato con un endpoint di interfaccia per notebook AI SageMaker

• [EC2.85] VPCs deve essere configurato con un endpoint di interfaccia per AI studio SageMaker

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.109] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.111] VPCs deve essere configurato con un endpoint di interfaccia per CodeBuild

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.116] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.152] VPCs deve essere configurato con un endpoint di interfaccia per Serverless EMR

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.2] ElastiCache (RedisOSS) i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

• [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.10] Le politiche relative alle password per IAM gli utenti dovrebbero avere durate elevate AWS Config

• [IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola

• [IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola

• [IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo

• [IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero

• [IAM.15] Assicurati che IAM la politica sulle password richieda una lunghezza minima della password pari o superiore a 14

• [IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password

• [IAM.17] Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.3] Le istanze RDS DB devono avere la crittografia a riposo abilitata

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato

• [S3.15] I bucket generici S3 devono avere Object Lock abilitato

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [SSM.4] SSM i documenti non devono essere pubblici

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Asia Pacifico (Mumbai)

I seguenti controlli non sono supportati in Asia Pacifico (Mumbai).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Asia Pacifico (Osaka-Locale)

I seguenti controlli non sono supportati in Asia Pacifico (Osaka).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.1] Il API gateway REST e la registrazione WebSocket API dell'esecuzione devono essere abilitati

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.1] Le EBS istantanee di Amazon non devono essere ripristinabili pubblicamente

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.7] la crittografia EBS predefinita deve essere abilitata

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

• [EC2.10] Amazon EC2 deve essere configurato per utilizzare gli VPC endpoint creati per il servizio Amazon EC2

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per ECR API

• [EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry

• [EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.62] VPCs deve essere configurato con un endpoint di interfaccia per Logs CloudWatch

• [EC2.63] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Messages

• [EC2.64] VPCs deve essere configurato con un endpoint di interfaccia per il servizio di consegna dei messaggi

• [EC2.65] VPCs deve essere configurato con un endpoint di interfaccia per Secrets Manager

• [EC2.66] VPCs deve essere configurato con un endpoint di interfaccia per Gateway API

• [EC2.67] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.68] VPCs deve essere configurato con un endpoint di interfaccia per AWS KMS

• [EC2.69] VPCs deve essere configurato con un endpoint di interfaccia per SQS

• [EC2.70] VPCs deve essere configurato con un endpoint di interfaccia per STS

• [EC2.71] VPCs deve essere configurato con un endpoint di interfaccia per SNS

• [EC2.72] VPCs deve essere configurato con un endpoint di interfaccia per S3

• [EC2.73] VPCs deve essere configurato con un endpoint di interfaccia per Lambda

• [EC2.74] VPCs deve essere configurato con un endpoint di interfaccia per ECS

• [EC2.75] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Load Balancing

• [EC2.76] VPCs deve essere configurato con un endpoint di interfaccia per CloudFormation

• [EC2.77] VPCs deve essere configurato con un endpoint di interfaccia per EventBridge

• [EC2.78] VPCs deve essere configurato con un endpoint di interfaccia per EC2 Auto Scaling

• [EC2.79] VPCs deve essere configurato con un endpoint di interfaccia per AI SageMaker API

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.82] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.84] VPCs deve essere configurato con un endpoint di interfaccia per notebook AI SageMaker

• [EC2.85] VPCs deve essere configurato con un endpoint di interfaccia per AI studio SageMaker

• [EC2.86] VPCs deve essere configurato con un endpoint di interfaccia per AWS Glue

• [EC2.87] VPCs deve essere configurato con un endpoint di interfaccia per Kinesis Data Streams

• [EC2.88] VPCs deve essere configurato con un endpoint di interfaccia per Transfer Family for SFTP

• [EC2.89] VPCs deve essere configurato con un endpoint di interfaccia per CloudTrail

• [EC2.90] VPCs deve essere configurato con un endpoint di interfaccia per RDS

• [EC2.91] VPCs deve essere configurato con un endpoint di interfaccia per Agent ECS

• [EC2.92] VPCs deve essere configurato con un endpoint di interfaccia per la telemetria ECS

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.95] VPCs deve essere configurato con un endpoint di interfaccia per EFS

• [EC2.96] VPCs deve essere configurato con un endpoint di interfaccia per Athena

• [EC2.97] VPCs deve essere configurato con un endpoint di interfaccia per Firehose

• [EC2.98] VPCs deve essere configurato con un endpoint di interfaccia per Step Functions

• [EC2.99] VPCs deve essere configurato con un endpoint di interfaccia per Storage Gateway

• [EC2.100] VPCs deve essere configurato con un endpoint di interfaccia per Amazon MWAA

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.102] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.105] VPCs deve essere configurato con un endpoint di interfaccia per DataSync

• [EC2.106] VPCs deve essere configurato con un endpoint di interfaccia per CodePipeline

• [EC2.107] VPCs deve essere configurato con un endpoint di interfaccia per EKS

• [EC2.108] VPCs deve essere configurato con un endpoint di interfaccia per Direct EBS APIs

• [EC2.109] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.110] VPCs deve essere configurato con un endpoint di interfaccia per X-Ray

• [EC2.111] VPCs deve essere configurato con un endpoint di interfaccia per CodeBuild

• [EC2.112] VPCs deve essere configurato con un endpoint di interfaccia per AWS Config

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.114] VPCs deve essere configurato con un endpoint di interfaccia per Service Catalog

• [EC2.115] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EMR

• [EC2.116] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.119] VPCs deve essere configurato con un endpoint di interfaccia per AWS Private CA

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.126] VPCs deve essere configurato con un endpoint di interfaccia per Application Auto Scaling

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.131] VPCs deve essere configurato con un endpoint di interfaccia per EFS

• [EC2.132] VPCs deve essere configurato con un endpoint di interfaccia per AWS Backup

• [EC2.133] VPCs deve essere configurato con un endpoint di interfaccia per DMS

• [EC2.134] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.140] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift Data API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.143] VPCs deve essere configurato con un endpoint di interfaccia per AWS MGN

• [EC2.144] VPCs deve essere configurato con un endpoint di interfaccia per Image Builder

• [EC2.145] VPCs deve essere configurato con un endpoint di interfaccia per Step Functions

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.149] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EKS

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.152] VPCs deve essere configurato con un endpoint di interfaccia per Serverless EMR

• [EC2.153] VPCs dovrebbe essere configurato con un endpoint di interfaccia per Lake Formation

• [EC2.154] VPCs deve essere configurato con un endpoint di interfaccia per Amazon FSx

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.159] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Disaster Recovery

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.167] VPCs deve essere configurato con un endpoint di interfaccia per DynamoDB

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Access Analyzer

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS

• [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

• [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico

• [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati

• [Lambda.3] Le funzioni Lambda dovrebbero trovarsi in un VPC

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.4] Le istantanee RDS del cluster e le istantanee del database devono essere crittografate quando sono inattive

• [RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.15] I bucket generici S3 devono avere Object Lock abilitato

• [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Asia Pacifico (Seoul)

I seguenti controlli non sono supportati in Asia Pacifico (Seoul).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Asia Pacifico (Singapore)

I seguenti controlli non sono supportati in Asia Pacifico (Singapore).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Asia Pacifico (Sydney)

I seguenti controlli non sono supportati in Asia Pacifico (Sydney).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Asia Pacifico (Tokyo)

I seguenti controlli non sono supportati in Asia Pacifico (Tokyo).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Canada (Centrale)

I seguenti controlli non sono supportati in Canada (Central).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Cina (Pechino)

I seguenti controlli non sono supportati in Cina (Pechino).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [ACM.2] RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

• [ACM.3] ACM i certificati devono essere etichettati

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.2] I cataloghi di dati Athena devono essere etichettati

• [Athena.3] I gruppi di lavoro Athena devono essere etichettati

• [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.3] AWS Backup le casseforti devono essere etichettate

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [Backup.5] AWS Backup i piani di backup devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.9] i percorsi devono essere etichettati CloudTrail

• [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.5] Le tabelle DynamoDB devono essere etichettate

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.35] le interfacce EC2 di rete devono essere etichettate

• [EC2.36] I gateway per i EC2 clienti devono essere etichettati

• [EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

• [EC2.38] EC2 le istanze devono essere etichettate

• [EC2.39] i gateway EC2 Internet devono essere etichettati

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.41] la EC2 rete ACLs deve essere etichettata

• [EC2.42] le tabelle delle EC2 rotte devono essere etichettate

• [EC2.43] i gruppi EC2 di sicurezza devono essere etichettati

• [EC24.4] le EC2 sottoreti devono essere etichettate

• [EC2.45] i EC2 volumi devono essere etichettati

• [EC2.46] Amazon VPCs dovrebbe essere taggato

• [EC2.47] I servizi VPC endpoint di Amazon devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.49] Le connessioni VPC peering di Amazon devono essere etichettate

• [EC2.50] i EC2 VPN gateway devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.52] i gateway di EC2 transito devono essere etichettati

• [EC2.53] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

• [EC2.54] i gruppi EC2 di sicurezza non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.89] VPCs deve essere configurato con un endpoint di interfaccia per CloudTrail

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.106] VPCs deve essere configurato con un endpoint di interfaccia per CodePipeline

• [EC2.112] VPCs deve essere configurato con un endpoint di interfaccia per AWS Config

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.143] VPCs deve essere configurato con un endpoint di interfaccia per AWS MGN

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.149] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EKS

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.159] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Disaster Recovery

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Access Analyzer

• [EC2.171] EC2 VPN le connessioni devono avere la registrazione abilitata

• [ECR.1] I repository ECR privati dovrebbero avere la scansione delle immagini configurata

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.13] ECS i servizi devono essere etichettati

• [ECS.14] i ECS cluster devono essere etichettati

• [ECS.15] le definizioni delle ECS attività devono essere etichettate

• [EFS.5] i punti di EFS accesso devono essere etichettati

• [EFS.6] gli obiettivi di EFS montaggio non devono essere associati a una sottorete pubblica

• [EKS.3] i EKS cluster devono utilizzare segreti Kubernetes criptati

• [EKS.6] EKS i cluster devono essere etichettati

• [EKS.7] le configurazioni dei provider di EKS identità devono essere contrassegnate

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [ES.9] I domini Elasticsearch devono essere etichettati

• [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

• [FSx.2] FSx per i file system Lustre deve essere configurato per copiare i tag nei backup

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [GuardDuty.1] GuardDuty dovrebbe essere abilitato

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati

• [GuardDuty.5] Il monitoraggio GuardDuty EKS dei log di controllo deve essere abilitato

• [GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata

• [GuardDuty.7] Il monitoraggio del GuardDuty EKS runtime deve essere abilitato

• [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.2] Gli stream Kinesis devono essere etichettati

• [Lambda.6] Le funzioni Lambda devono essere etichettate

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata

• [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato

• [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi

• [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati

• [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto

• [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati

• [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate

• [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [PCA.1] AWS Private CA l'autorità di certificazione principale deve essere disabilitata

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.16] I cluster RDS DB devono essere configurati per copiare i tag nelle istantanee

• [RDS.24] I cluster di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.25] le istanze di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

• [RDS.28] I cluster RDS DB devono essere etichettati

• [RDS.29] Le istantanee dei cluster RDS DB devono essere etichettate

• [RDS.30] Le istanze RDS DB devono essere etichettate

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.32] Gli snapshot RDS DB devono essere etichettati

• [RDS.33] I gruppi di RDS sottoreti DB devono essere etichettati

• [RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Redshift.11] I cluster Redshift devono essere etichettati

• [Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate

• [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate

• [Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati

• [Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato

• [S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto

• [S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.4] Le varianti di produzione di endpoint SageMaker AI devono avere un numero iniziale di istanze superiore a 1

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

• [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

• [SecretsManager.5] I segreti di Secrets Manager devono essere etichettati

• [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi all'interno di un AWS solo organizzazione

• [SNS.3] SNS gli argomenti devono essere etichettati

• [.2] SQS le code devono essere etichettate SQS

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati

• [Transfer.2] I server Transfer Family non devono utilizzare il FTP protocollo per la connessione agli endpoint

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Cina (Ningxia)

I seguenti controlli non sono supportati in Cina (Ningxia).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [ACM.2] RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

• [ACM.3] ACM i certificati devono essere etichettati

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.2] I cataloghi di dati Athena devono essere etichettati

• [Athena.3] I gruppi di lavoro Athena devono essere etichettati

• [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.3] AWS Backup le casseforti devono essere etichettate

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [Backup.5] AWS Backup i piani di backup devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.9] i percorsi devono essere etichettati CloudTrail

• [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DataFirehose.1] I flussi di distribuzione di Firehose devono essere crittografati quando sono inattivi

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.5] Le tabelle DynamoDB devono essere etichettate

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.35] le interfacce EC2 di rete devono essere etichettate

• [EC2.36] I gateway per i EC2 clienti devono essere etichettati

• [EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

• [EC2.38] EC2 le istanze devono essere etichettate

• [EC2.39] i gateway EC2 Internet devono essere etichettati

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.41] la EC2 rete ACLs deve essere etichettata

• [EC2.42] le tabelle delle EC2 rotte devono essere etichettate

• [EC2.43] i gruppi EC2 di sicurezza devono essere etichettati

• [EC24.4] le EC2 sottoreti devono essere etichettate

• [EC2.45] i EC2 volumi devono essere etichettati

• [EC2.46] Amazon VPCs dovrebbe essere taggato

• [EC2.47] I servizi VPC endpoint di Amazon devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.49] Le connessioni VPC peering di Amazon devono essere etichettate

• [EC2.50] i EC2 VPN gateway devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.52] i gateway di EC2 transito devono essere etichettati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.89] VPCs deve essere configurato con un endpoint di interfaccia per CloudTrail

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.106] VPCs deve essere configurato con un endpoint di interfaccia per CodePipeline

• [EC2.112] VPCs deve essere configurato con un endpoint di interfaccia per AWS Config

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.143] VPCs deve essere configurato con un endpoint di interfaccia per AWS MGN

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.149] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EKS

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.159] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Disaster Recovery

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Access Analyzer

• [EC2.171] EC2 VPN le connessioni devono avere la registrazione abilitata

• [ECR.1] I repository ECR privati dovrebbero avere la scansione delle immagini configurata

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.13] ECS i servizi devono essere etichettati

• [ECS.14] i ECS cluster devono essere etichettati

• [ECS.15] le definizioni delle ECS attività devono essere etichettate

• [EFS.3] i punti di EFS accesso devono applicare una directory principale

• [EFS.4] i punti di EFS accesso devono imporre l'identità di un utente

• [EFS.5] i punti di EFS accesso devono essere etichettati

• [EFS.6] gli obiettivi di EFS montaggio non devono essere associati a una sottorete pubblica

• [EKS.3] i EKS cluster devono utilizzare segreti Kubernetes criptati

• [EKS.6] EKS i cluster devono essere etichettati

• [EKS.7] le configurazioni dei provider di EKS identità devono essere contrassegnate

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [ES.9] I domini Elasticsearch devono essere etichettati

• [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

• [FSx.2] FSx per i file system Lustre deve essere configurato per copiare i tag nei backup

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [Glue.3] AWS Glue le trasformazioni dell'apprendimento automatico devono essere crittografate quando sono inattive

• [GuardDuty.1] GuardDuty dovrebbe essere abilitato

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati

• [GuardDuty.5] Il monitoraggio GuardDuty EKS dei log di controllo deve essere abilitato

• [GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata

• [GuardDuty.7] Il monitoraggio del GuardDuty EKS runtime deve essere abilitato

• [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.2] Gli stream Kinesis devono essere etichettati

• [Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico

• [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati

• [Lambda.3] Le funzioni Lambda dovrebbero trovarsi in un VPC

• [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

• [Lambda.6] Le funzioni Lambda devono essere etichettate

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata

• [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato

• [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi

• [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati

• [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto

• [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati

• [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate

• [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [PCA.1] AWS Private CA l'autorità di certificazione principale deve essere disabilitata

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.24] I cluster di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.25] le istanze di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.28] I cluster RDS DB devono essere etichettati

• [RDS.29] Le istantanee dei cluster RDS DB devono essere etichettate

• [RDS.30] Le istanze RDS DB devono essere etichettate

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.32] Gli snapshot RDS DB devono essere etichettati

• [RDS.33] I gruppi di RDS sottoreti DB devono essere etichettati

• [RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Redshift.11] I cluster Redshift devono essere etichettati

• [Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate

• [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate

• [Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati

• [Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.4] Le varianti di produzione di endpoint SageMaker AI devono avere un numero iniziale di istanze superiore a 1

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

• [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

• [SecretsManager.5] I segreti di Secrets Manager devono essere etichettati

• [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi all'interno di un AWS solo organizzazione

• [SNS.3] SNS gli argomenti devono essere etichettati

• [.2] SQS le code devono essere etichettate SQS

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati

• [Transfer.2] I server Transfer Family non devono utilizzare il FTP protocollo per la connessione agli endpoint

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

Europa (Francoforte)

I seguenti controlli non sono supportati in Europa (Francoforte).

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Europa (Irlanda)

I seguenti controlli non sono supportati in Europa (Irlanda).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Europa (Londra)

I seguenti controlli non sono supportati in Europa (Londra).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

Europa (Milano)

I seguenti controlli non sono supportati in Europa (Milano).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.12] Amazon non utilizzato EC2 EIPs deve essere rimosso

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.4] Le istantanee RDS del cluster e le istantanee del database devono essere crittografate quando sono inattive

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Europa (Parigi)

I seguenti controlli non sono supportati in Europa (Parigi).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Europa (Spagna)

I seguenti controlli non sono supportati in Europa (Spagna).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

• [CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda

• [DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.1] Le EBS istantanee di Amazon non devono essere ripristinabili pubblicamente

• [EC2.2] i gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.6] la registrazione VPC del flusso deve essere abilitata in tutti VPCs

• [EC2.7] la crittografia EBS predefinita deve essere abilitata

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.109] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.116] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS

• [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

• [ELB.5] La registrazione di Application e Classic Load Balancers deve essere abilitata

• [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [KMS.4] la rotazione dei AWS KMS tasti dovrebbe essere abilitata

• [Lambda.1] Le politiche delle funzioni Lambda dovrebbero vietare l'accesso pubblico

• [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati

• [Lambda.3] Le funzioni Lambda dovrebbero trovarsi in un VPC

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.2] Le istanze RDS DB dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

• [RDS.3] Le istanze RDS DB devono avere la crittografia a riposo abilitata

• [RDS.4] Le istantanee RDS del cluster e le istantanee del database devono essere crittografate quando sono inattive

• [RDS.5] Le istanze RDS DB devono essere configurate con più zone di disponibilità

• [RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata

• [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch

• [RDS.10] IAM l'autenticazione deve essere configurata per le istanze RDS

• [RDS.11] RDS le istanze devono avere i backup automatici abilitati

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

• [Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico

• [Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.5] I bucket generici S3 devono richiedere l'utilizzo di richieste SSL

• [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata

• [S3.15] I bucket generici S3 devono avere Object Lock abilitato

• [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Europa (Stoccolma)

I seguenti controlli non sono supportati in Europa (Stoccolma).

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Europa (Zurigo)

I seguenti controlli non sono supportati in Europa (Zurigo).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

• [CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda

• [DynamoDB.2] Le tabelle DynamoDB dovrebbero avere il ripristino abilitato point-in-time

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.2] i gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.6] la registrazione VPC del flusso deve essere abilitata in tutti VPCs

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.9] EC2 Le istanze Amazon non devono avere un indirizzo pubblico IPv4

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.85] VPCs deve essere configurato con un endpoint di interfaccia per AI studio SageMaker

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.109] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.116] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.152] VPCs deve essere configurato con un endpoint di interfaccia per Serverless EMR

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS

• [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.3] Le istanze RDS DB devono avere la crittografia a riposo abilitata

• [RDS.5] Le istanze RDS DB devono essere configurate con più zone di disponibilità

• [RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Israele (Tel Aviv)

I seguenti controlli non sono supportati in Israele (Tel Aviv).

• [ACM.1] I certificati ACM importati ed emessi devono essere rinnovati dopo un periodo di tempo specificato

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata

• [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.4] I gruppi di lavoro Athena devono avere la registrazione abilitata

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [DataSync.1] DataSync le attività devono avere la registrazione abilitata

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.6] la registrazione VPC del flusso deve essere abilitata in tutti VPCs

• [EC2.10] Amazon EC2 deve essere configurato per utilizzare gli VPC endpoint creati per il servizio Amazon EC2

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.55] VPCs deve essere configurato con un endpoint di interfaccia per ECR API

• [EC2.56] VPCs deve essere configurato con un endpoint di interfaccia per Docker Registry

• [EC2.57] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.62] VPCs deve essere configurato con un endpoint di interfaccia per Logs CloudWatch

• [EC2.63] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Messages

• [EC2.64] VPCs deve essere configurato con un endpoint di interfaccia per il servizio di consegna dei messaggi

• [EC2.65] VPCs deve essere configurato con un endpoint di interfaccia per Secrets Manager

• [EC2.66] VPCs deve essere configurato con un endpoint di interfaccia per Gateway API

• [EC2.67] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.68] VPCs deve essere configurato con un endpoint di interfaccia per AWS KMS

• [EC2.69] VPCs deve essere configurato con un endpoint di interfaccia per SQS

• [EC2.70] VPCs deve essere configurato con un endpoint di interfaccia per STS

• [EC2.71] VPCs deve essere configurato con un endpoint di interfaccia per SNS

• [EC2.72] VPCs deve essere configurato con un endpoint di interfaccia per S3

• [EC2.73] VPCs deve essere configurato con un endpoint di interfaccia per Lambda

• [EC2.74] VPCs deve essere configurato con un endpoint di interfaccia per ECS

• [EC2.75] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Load Balancing

• [EC2.76] VPCs deve essere configurato con un endpoint di interfaccia per CloudFormation

• [EC2.77] VPCs deve essere configurato con un endpoint di interfaccia per EventBridge

• [EC2.78] VPCs deve essere configurato con un endpoint di interfaccia per EC2 Auto Scaling

• [EC2.79] VPCs deve essere configurato con un endpoint di interfaccia per AI SageMaker API

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.82] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.84] VPCs deve essere configurato con un endpoint di interfaccia per notebook AI SageMaker

• [EC2.85] VPCs deve essere configurato con un endpoint di interfaccia per AI studio SageMaker

• [EC2.86] VPCs deve essere configurato con un endpoint di interfaccia per AWS Glue

• [EC2.87] VPCs deve essere configurato con un endpoint di interfaccia per Kinesis Data Streams

• [EC2.88] VPCs deve essere configurato con un endpoint di interfaccia per Transfer Family for SFTP

• [EC2.89] VPCs deve essere configurato con un endpoint di interfaccia per CloudTrail

• [EC2.90] VPCs deve essere configurato con un endpoint di interfaccia per RDS

• [EC2.91] VPCs deve essere configurato con un endpoint di interfaccia per Agent ECS

• [EC2.92] VPCs deve essere configurato con un endpoint di interfaccia per la telemetria ECS

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.95] VPCs deve essere configurato con un endpoint di interfaccia per EFS

• [EC2.96] VPCs deve essere configurato con un endpoint di interfaccia per Athena

• [EC2.97] VPCs deve essere configurato con un endpoint di interfaccia per Firehose

• [EC2.98] VPCs deve essere configurato con un endpoint di interfaccia per Step Functions

• [EC2.99] VPCs deve essere configurato con un endpoint di interfaccia per Storage Gateway

• [EC2.100] VPCs deve essere configurato con un endpoint di interfaccia per Amazon MWAA

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.102] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.105] VPCs deve essere configurato con un endpoint di interfaccia per DataSync

• [EC2.106] VPCs deve essere configurato con un endpoint di interfaccia per CodePipeline

• [EC2.107] VPCs deve essere configurato con un endpoint di interfaccia per EKS

• [EC2.108] VPCs deve essere configurato con un endpoint di interfaccia per Direct EBS APIs

• [EC2.109] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.110] VPCs deve essere configurato con un endpoint di interfaccia per X-Ray

• [EC2.111] VPCs deve essere configurato con un endpoint di interfaccia per CodeBuild

• [EC2.112] VPCs deve essere configurato con un endpoint di interfaccia per AWS Config

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.114] VPCs deve essere configurato con un endpoint di interfaccia per Service Catalog

• [EC2.115] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EMR

• [EC2.116] VPCs deve essere configurato con un endpoint di interfaccia per CodeCommit

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.119] VPCs deve essere configurato con un endpoint di interfaccia per AWS Private CA

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.126] VPCs deve essere configurato con un endpoint di interfaccia per Application Auto Scaling

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.131] VPCs deve essere configurato con un endpoint di interfaccia per EFS

• [EC2.132] VPCs deve essere configurato con un endpoint di interfaccia per AWS Backup

• [EC2.133] VPCs deve essere configurato con un endpoint di interfaccia per DMS

• [EC2.134] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.140] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift Data API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.143] VPCs deve essere configurato con un endpoint di interfaccia per AWS MGN

• [EC2.144] VPCs deve essere configurato con un endpoint di interfaccia per Image Builder

• [EC2.145] VPCs deve essere configurato con un endpoint di interfaccia per Step Functions

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.149] VPCs deve essere configurato con un endpoint di interfaccia per Amazon EKS

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.152] VPCs deve essere configurato con un endpoint di interfaccia per Serverless EMR

• [EC2.153] VPCs dovrebbe essere configurato con un endpoint di interfaccia per Lake Formation

• [EC2.154] VPCs deve essere configurato con un endpoint di interfaccia per Amazon FSx

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.156] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Data

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.159] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Disaster Recovery

• [EC2.160] VPCs deve essere configurato con un endpoint di interfaccia per Cloud HSM

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.167] VPCs deve essere configurato con un endpoint di interfaccia per DynamoDB

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Access Analyzer

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.2] I repository ECR privati devono avere configurata l'immutabilità dei tag

• [ECR.3] I ECR repository devono avere almeno una politica del ciclo di vita configurata

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [ECS.16] i set di ECS attività non devono assegnare automaticamente indirizzi IP pubblici

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [EFS.3] i punti di EFS accesso devono applicare una directory principale

• [EFS.4] i punti di EFS accesso devono imporre l'identità di un utente

• [EFS.6] gli obiettivi di EFS montaggio non devono essere associati a una sottorete pubblica

• [EFS.7] i EFS file system devono avere i backup automatici abilitati

• [EFS.8] i EFS file system devono essere crittografati quando sono inattivi

• [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata

• [EKS.6] EKS i cluster devono essere etichettati

• [EKS.7] le configurazioni dei provider di EKS identità devono essere contrassegnate

• [EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide

• [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.2] ElastiCache (RedisOSS) i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

• [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [ES.1] I domini Elasticsearch devono avere la crittografia a riposo abilitata

• [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico

• [ES.3] I domini Elasticsearch devono crittografare i dati inviati tra i nodi

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [GuardDuty.1] GuardDuty dovrebbe essere abilitato

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.7] Le politiche in materia di password per IAM gli utenti devono avere configurazioni solide

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.10] Le politiche relative alle password per IAM gli utenti dovrebbero avere durate elevate AWS Config

• [IAM.11] Assicurati che IAM la politica delle password richieda almeno una lettera maiuscola

• [IAM.12] Assicurati che la politica delle IAM password richieda almeno una lettera minuscola

• [IAM.13] Assicurati che la politica delle IAM password richieda almeno un simbolo

• [IAM.14] Assicurati che IAM la politica delle password richieda almeno un numero

• [IAM.15] Assicurati che IAM la politica sulle password richieda una lunghezza minima della password pari o superiore a 14

• [IAM.16] Assicurati che IAM la politica delle password impedisca il riutilizzo della password

• [IAM.17] Assicurati che IAM la politica sulle password faccia scadere le password entro 90 giorni o meno

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi

• [Kinesis.2] Gli stream Kinesis devono essere etichettati

• [Kinesis.3] I flussi Kinesis devono avere un periodo di conservazione dei dati adeguato

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [MQ.2] I broker ActiveMQ devono trasmettere i log di controllo a CloudWatch

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker

• [MSK.2] i MSK cluster dovrebbero avere configurato un monitoraggio avanzato

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.4] Le istantanee RDS del cluster e le istantanee del database devono essere crittografate quando sono inattive

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.29] Le istantanee dei cluster RDS DB devono essere etichettate

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [RDS.37] I cluster Aurora SQL Postgre DB devono pubblicare i log in Logs CloudWatch

• [Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate

• [Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore

• [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura

• [S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [ServiceCatalog.1] I portafogli Service Catalog devono essere condivisi all'interno di un AWS solo organizzazione

• [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [SSM.3] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT

• [SSM.4] SSM i documenti non devono essere pubblici

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Medio Oriente (Bahrein)

I seguenti controlli non sono supportati in Medio Oriente (Bahrein).

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.20] Entrambi i VPN tunnel per una AWS Site-to-Site VPN connessione devono essere attivi

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [GuardDuty.1] GuardDuty dovrebbe essere abilitato

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SSM.2] EC2 Le istanze Amazon gestite da Systems Manager devono avere uno stato di conformità delle patch pari a COMPLIANT dopo l'installazione della patch

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Medio Oriente () UAE

I seguenti controlli non sono supportati in Medio Oriente (UAE).

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB

• [Backup.1] AWS Backup i punti di ripristino devono essere crittografati quando sono inattivi

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

• [CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

• [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.7] Le esportazioni dei gruppi di CodeBuild report devono essere crittografate quando sono inattive

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.1] Le istanze di replica del Database Migration Service non devono essere pubbliche

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DMS.10] gli DMS endpoint per i database Neptune devono avere l'autorizzazione abilitata IAM

• [DMS.11] gli DMS endpoint per MongoDB devono avere un meccanismo di autenticazione abilitato

• [DMS.12] DMS gli endpoint per Redis avrebbero dovuto essere abilitati OSS TLS

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.3] I EBS volumi Amazon collegati devono essere crittografati quando sono inattivi

• [EC2.4] EC2 Le istanze interrotte devono essere rimosse dopo un periodo di tempo specificato

• [EC2.6] la registrazione VPC del flusso deve essere abilitata in tutti VPCs

• [EC2.8] EC2 le istanze devono utilizzare Instance Metadata Service versione 2 () IMDSv2

• [EC2.12] Amazon non utilizzato EC2 EIPs deve essere rimosso

• [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

• [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.51] VPN Gli endpoint EC2 client devono avere la registrazione delle connessioni client abilitata

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.94] VPCs deve essere configurato con un endpoint di interfaccia per SES

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.118] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.120] VPCs deve essere configurato con un endpoint di interfaccia per ElastiCache

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.123] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Redshift

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.135] VPCs deve essere configurato con un endpoint di interfaccia per Amazon AppStream API

• [EC2.136] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Streaming AppStream

• [EC2.137] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Beanstalk

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.142] VPCs deve essere configurato con un endpoint di interfaccia per Keyspaces

• [EC2.144] VPCs deve essere configurato con un endpoint di interfaccia per Image Builder

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.148] VPCs deve essere configurato con un endpoint di interfaccia per Batch

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.155] VPCs deve essere configurato con un endpoint di interfaccia per Amazon su EMR EKS

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.164] VPCs deve essere configurato con un endpoint di interfaccia per CloudWatch

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.166] VPCs deve essere configurato con un endpoint di interfaccia per Security Hub

• [EC2.168] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Transcribe Medical

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file archiviati utilizzando AWS KMS

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [ELB.3] I listener Classic Load Balancer devono essere configurati con o terminazione HTTPS TLS

• [ELB.9] I Classic Load Balancer devono avere il bilanciamento del carico tra zone abilitato

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.2] ElastiCache (RedisOSS) i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

• [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.1] IAM le politiche non dovrebbero consentire i privilegi amministrativi completi di tipo «*»

• [IAM.2] IAM gli utenti non dovrebbero avere politiche allegate IAM

• [IAM.3] le chiavi di accesso IAM degli utenti devono essere ruotate ogni 90 giorni o meno

• [IAM.4] la chiave di accesso per l'utente IAM root non dovrebbe esistere

• [IAM.5] MFA deve essere abilitato per tutti IAM gli utenti che dispongono di una password di console

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.8] Le credenziali IAM utente non utilizzate devono essere rimosse

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

• [IAM.19] MFA deve essere abilitato per tutti gli utenti IAM

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.22] le credenziali IAM utente non utilizzate per 45 giorni devono essere rimosse

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.27] IAM alle identità non dovrebbe essere allegata la policy AWSCloudShellFullAccess

• [Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

• [Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

• [KMS.1] le politiche gestite dai IAM clienti non dovrebbero consentire azioni di decrittografia su tutte le chiavi KMS

• [KMS.2] IAM i principali non dovrebbero avere politiche in IAM linea che consentano azioni di decrittografia su tutte le chiavi KMS

• [KMS.4] la rotazione dei AWS KMS tasti dovrebbe essere abilitata

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• Nei OpenSearch domini [Opensearch.10] deve essere installato l'ultimo aggiornamento software

• I OpenSearch domini [Opensearch.11] devono avere almeno tre nodi primari dedicati

• [RDS.1] l'RDSistantanea deve essere privata

• [RDS.2] Le istanze RDS DB dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

• [RDS.3] Le istanze RDS DB devono avere la crittografia a riposo abilitata

• [RDS.5] Le istanze RDS DB devono essere configurate con più zone di disponibilità

• [RDS.6] Il monitoraggio avanzato deve essere configurato per le istanze DB RDS

• [RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata

• [RDS.11] RDS le istanze devono avere i backup automatici abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura

• [S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura

• [S3.5] I bucket generici S3 devono richiedere l'utilizzo di richieste SSL

• [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS

• [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS

• [SQS.1] Le SQS code di Amazon devono essere crittografate quando sono inattive

• [.2] SQS le code devono essere etichettate SQS

• [SSM.1] EC2 Le istanze Amazon devono essere gestite da AWS Systems Manager

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

Sud America (San Paolo)

I seguenti controlli non sono supportati in Sud America (San Paolo).

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.141] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Textract

• [EC2.146] VPCs deve essere configurato con un endpoint di interfaccia per Auto Scaling

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [RDS.7] RDS i cluster dovrebbero avere la protezione da eliminazione abilitata

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

AWS GovCloud (Stati Uniti orientali)

I seguenti controlli non sono supportati in AWS GovCloud (Stati Uniti orientali).

• [ACM.2] RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

• [ACM.3] ACM i certificati devono essere etichettati

• [Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata

• [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato

• [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.2] I cataloghi di dati Athena devono essere etichettati

• [Athena.3] I gruppi di lavoro Athena devono essere etichettati

• [AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità

• [AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2

• [AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità

• [AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2

• [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.3] AWS Backup le casseforti devono essere etichettate

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [Backup.5] AWS Backup i piani di backup devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.9] i percorsi devono essere etichettati CloudTrail

• [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.3] I log CodeBuild S3 devono essere crittografati

• [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.5] Le tabelle DynamoDB devono essere etichettate

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

• [EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.35] le interfacce EC2 di rete devono essere etichettate

• [EC2.36] I gateway per i EC2 clienti devono essere etichettati

• [EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

• [EC2.38] EC2 le istanze devono essere etichettate

• [EC2.39] i gateway EC2 Internet devono essere etichettati

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.41] la EC2 rete ACLs deve essere etichettata

• [EC2.42] le tabelle delle EC2 rotte devono essere etichettate

• [EC2.43] i gruppi EC2 di sicurezza devono essere etichettati

• [EC24.4] le EC2 sottoreti devono essere etichettate

• [EC2.45] i EC2 volumi devono essere etichettati

• [EC2.46] Amazon VPCs dovrebbe essere taggato

• [EC2.47] I servizi VPC endpoint di Amazon devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.49] Le connessioni VPC peering di Amazon devono essere etichettate

• [EC2.50] i EC2 VPN gateway devono essere etichettati

• [EC2.52] i gateway di EC2 transito devono essere etichettati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.100] VPCs deve essere configurato con un endpoint di interfaccia per Amazon MWAA

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.102] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.119] VPCs deve essere configurato con un endpoint di interfaccia per AWS Private CA

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.134] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.147] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.150] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Comprehend

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.161] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Rekognition

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.165] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Bedrock

• [EC2.167] VPCs deve essere configurato con un endpoint di interfaccia per DynamoDB

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.1] I repository ECR privati dovrebbero avere la scansione delle immagini configurata

• [ECR.2] I repository ECR privati devono avere configurata l'immutabilità dei tag

• [ECR.3] I ECR repository devono avere almeno una politica del ciclo di vita configurata

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.3] le definizioni delle ECS attività non devono condividere lo spazio dei nomi dei processi dell'host

• [ECS.4] ECS I contenitori devono essere eseguiti come non privilegiati

• [ECS.5] ECS I contenitori devono essere limitati all'accesso in sola lettura ai filesystem root

• [ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate

• [ECS.12] ECS i cluster devono utilizzare Container Insights

• [ECS.13] ECS i servizi devono essere etichettati

• [ECS.14] i ECS cluster devono essere etichettati

• [ECS.15] le definizioni delle ECS attività devono essere etichettate

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [EFS.3] i punti di EFS accesso devono applicare una directory principale

• [EFS.4] i punti di EFS accesso devono imporre l'identità di un utente

• [EFS.5] i punti di EFS accesso devono essere etichettati

• [EKS.1] gli endpoint EKS del cluster non dovrebbero essere accessibili al pubblico

• [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata

• [EKS.6] EKS i cluster devono essere etichettati

• [EKS.7] le configurazioni dei provider di EKS identità devono essere contrassegnate

• [EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata

• [ELB.2] I sistemi Classic Load Balancer conSSL/HTTPSlistener devono utilizzare un certificato fornito da AWS Certificate Manager

• [ELB.8] I sistemi Classic Load Balancer con SSL listener devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config

• [ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità

• [ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.2] ElastiCache (RedisOSS) i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

• [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [ES.9] I domini Elasticsearch devono essere etichettati

• [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

• [FSx.2] FSx per i file system Lustre deve essere configurato per copiare i tag nei backup

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [Glue.3] AWS Glue le trasformazioni dell'apprendimento automatico devono essere crittografate quando sono inattive

• [GuardDuty.1] GuardDuty dovrebbe essere abilitato

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati

• [GuardDuty.7] Il monitoraggio del GuardDuty EKS runtime deve essere abilitato

• [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.26] ScadutiSSL/TLSi certificati gestiti in devono essere rimossi IAM

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi

• [Kinesis.2] Gli stream Kinesis devono essere etichettati

• [KMS.5] KMS le chiavi non devono essere accessibili al pubblico

• [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

• [Lambda.6] Le funzioni Lambda devono essere etichettate

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker

• [MSK.2] i MSK cluster dovrebbero avere configurato un monitoraggio avanzato

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata

• [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato

• [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi

• [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati

• [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto

• [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati

• [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate

• [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• [PCA.1] AWS Private CA l'autorità di certificazione principale deve essere disabilitata

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.24] I cluster di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.25] le istanze di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

• [RDS.28] I cluster RDS DB devono essere etichettati

• [RDS.29] Le istantanee dei cluster RDS DB devono essere etichettate

• [RDS.30] Le istanze RDS DB devono essere etichettate

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.32] Gli snapshot RDS DB devono essere etichettati

• [RDS.33] I gruppi di RDS sottoreti DB devono essere etichettati

• [RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore

• [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Redshift.11] I cluster Redshift devono essere etichettati

• [Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate

• [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate

• [Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita

• [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate

• [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3

• [S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita

• [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato

• [S3.20] I bucket generici S3 dovrebbero avere l'opzione di cancellazione abilitata MFA

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.1] Le istanze di notebook Amazon SageMaker AI non devono avere accesso diretto a Internet

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

• [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

• [SecretsManager.5] I segreti di Secrets Manager devono essere etichettati

• [SNS.3] SNS gli argomenti devono essere etichettati

• [SNS.4] le politiche di accesso agli SNS argomenti non dovrebbero consentire l'accesso pubblico

• [.2] SQS le code devono essere etichettate SQS

• [SSM.4] SSM i documenti non devono essere pubblici

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WAF.12] AWS WAF le regole devono avere le metriche abilitate CloudWatch

• [WorkSpaces.1] i volumi WorkSpaces utente devono essere crittografati quando sono inattivi

• [WorkSpaces.2] i volumi WorkSpaces root devono essere crittografati quando sono inattivi

AWS GovCloud (Stati Uniti occidentali)

I seguenti controlli non sono supportati in AWS GovCloud (Stati Uniti occidentali).

• [ACM.2] RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

• [ACM.3] ACM i certificati devono essere etichettati

• [Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

• [Account.2] Account AWS dovrebbe far parte di un AWS Organizations organizzazione

• [APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

• [APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

• [APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

• [APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

• [APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [AppSync.1] le AWS AppSync API cache devono essere crittografate quando sono inattive

• [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata

• [AppSync.4] AWS AppSync APIs GraphQL dovrebbe essere taggato

• [AppSync.5] AWS AppSync APIs GraphQL non deve essere autenticato con chiavi API

• [AppSync.6] le AWS AppSync API cache devono essere crittografate in transito

• [Athena.2] I cataloghi di dati Athena devono essere etichettati

• [Athena.3] I gruppi di lavoro Athena devono essere etichettati

• [AutoScaling.2] Il gruppo Amazon EC2 Auto Scaling dovrebbe coprire più zone di disponibilità

• [AutoScaling.3] Le configurazioni di avvio del gruppo Auto Scaling devono EC2 configurare le istanze in modo da richiedere Instance Metadata Service versione 2 () IMDSv2

• [AutoScaling.6] I gruppi di Auto Scaling devono utilizzare più tipi di istanze in più zone di disponibilità

• [AutoScaling.9] I gruppi Amazon EC2 Auto Scaling devono utilizzare i modelli di lancio di Amazon EC2

• [AutoScaling.10] I gruppi EC2 Auto Scaling devono essere etichettati

• [Autoscaling.5] Le istanze EC2 Amazon avviate utilizzando le configurazioni di avvio del gruppo Auto Scaling non devono avere indirizzi IP pubblici

• [Backup.2] AWS Backup i punti di ripristino devono essere etichettati

• [Backup.3] AWS Backup le casseforti devono essere etichettate

• [Backup.4] AWS Backup i piani di segnalazione devono essere etichettati

• [Backup.5] AWS Backup i piani di backup devono essere etichettati

• [CloudFormation.2] gli CloudFormation stack devono essere etichettati

• [CloudFront.1] CloudFront le distribuzioni dovrebbero avere un oggetto root predefinito configurato

• [CloudFront.3] CloudFront le distribuzioni dovrebbero richiedere la crittografia in transito

• [CloudFront.4] le CloudFront distribuzioni devono avere configurato il failover di origine

• [CloudFront.5] le CloudFront distribuzioni dovrebbero avere la registrazione abilitata

• [CloudFront.6] le distribuzioni avrebbero dovuto essere abilitate CloudFront WAF

• [CloudFront.7] CloudFront le distribuzioni devono utilizzare certificati/personalizzati SSL TLS

• [CloudFront.8] le CloudFront distribuzioni dovrebbero utilizzare per soddisfare le richieste SNI HTTPS

• [CloudFront.9] CloudFront le distribuzioni devono crittografare il traffico verso origini personalizzate

• [CloudFront.10] CloudFront le distribuzioni non devono utilizzare SSL protocolli obsoleti tra edge location e origini personalizzate

• [CloudFront.12] CloudFront le distribuzioni non devono puntare a origini S3 inesistenti

• [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine

• [CloudFront.14] CloudFront le distribuzioni devono essere etichettate

• [CloudTrail.9] i percorsi devono essere etichettati CloudTrail

• [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate

• [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

• [CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate

• [CodeArtifact.1] i CodeArtifact repository devono essere etichettati

• [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili

• [CodeBuild.2] Le variabili di ambiente CodeBuild del progetto non devono contenere credenziali di testo non crittografato

• [CodeBuild.3] I log CodeBuild S3 devono essere crittografati

• [CodeBuild.4] Gli ambienti di CodeBuild progetto devono avere una durata di registrazione AWS Config

• [Detective.1] I grafici del comportamento dei Detective devono essere etichettati

• [DMS.2] DMS i certificati devono essere etichettati

• [DMS.3] le sottoscrizioni agli DMS eventi devono essere contrassegnate

• [DMS.4] le istanze di DMS replica devono essere etichettate

• [DMS.5] i sottoreti di DMS replica devono essere etichettati

• [DMS.6] nelle istanze di DMS replica dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [DMS.7] le attività di DMS replica per il database di destinazione devono avere la registrazione abilitata

• [DMS.8] le attività di DMS replica per il database di origine devono avere la registrazione abilitata

• [DMS.9] gli endpoint devono utilizzare DMS SSL

• [DocumentDB.1] I cluster Amazon DocumentDB devono essere crittografati quando sono inattivi

• [DocumentDB.2] I cluster Amazon DocumentDB devono avere un periodo di conservazione dei backup adeguato

• [DocumentDB.3] Le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• [DocumentDB.4] I cluster Amazon DocumentDB devono pubblicare i log di controllo su Logs CloudWatch

• [DocumentDB.5] I cluster Amazon DocumentDB devono avere la protezione da eliminazione abilitata

• [DynamoDB.1] Le tabelle DynamoDB dovrebbero scalare automaticamente la capacità in base alla domanda

• [DynamoDB.3] I cluster DynamoDB Accelerator () devono essere crittografati quando sono inattivi DAX

• [DynamoDB.4] Le tabelle DynamoDB devono essere presenti in un piano di backup

• [DynamoDB.5] Le tabelle DynamoDB devono essere etichettate

• [DynamoDB.7] I cluster DynamoDB Accelerator devono essere crittografati in transito

• [EC2.15] Le EC2 sottoreti Amazon non devono assegnare automaticamente indirizzi IP pubblici

• [EC2.16] Gli elenchi di controllo degli accessi alla rete non utilizzati devono essere rimossi

• [EC2.17] EC2 Le istanze Amazon non devono utilizzare più istanze ENIs

• [EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

• [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi

• [EC2.23] Amazon EC2 Transit Gateways non dovrebbe accettare VPC automaticamente le richieste di allegati

• [EC2.24] I tipi di istanze EC2 paravirtuali di Amazon non devono essere utilizzati

• [EC2.25] I modelli di EC2 lancio di Amazon non devono assegnare interfacce IPs di rete pubbliche

• [EC2.28] EBS i volumi devono essere coperti da un piano di backup

• [EC2.33] Gli allegati di EC2 Transit Gateway devono essere etichettati

• [EC2.34] Le tabelle delle rotte dei gateway di EC2 transito devono essere etichettate

• [EC2.35] le interfacce EC2 di rete devono essere etichettate

• [EC2.36] I gateway per i EC2 clienti devono essere etichettati

• [EC2.37] Gli indirizzi IP EC2 elastici devono essere etichettati

• [EC2.38] EC2 le istanze devono essere etichettate

• [EC2.39] i gateway EC2 Internet devono essere etichettati

• [EC2.40] i EC2 NAT gateway devono essere etichettati

• [EC2.41] la EC2 rete ACLs deve essere etichettata

• [EC2.42] le tabelle delle EC2 rotte devono essere etichettate

• [EC2.43] i gruppi EC2 di sicurezza devono essere etichettati

• [EC24.4] le EC2 sottoreti devono essere etichettate

• [EC2.45] i EC2 volumi devono essere etichettati

• [EC2.46] Amazon VPCs dovrebbe essere taggato

• [EC2.47] I servizi VPC endpoint di Amazon devono essere etichettati

• [EC2.48] I log di VPC flusso di Amazon devono essere etichettati

• [EC2.49] Le connessioni VPC peering di Amazon devono essere etichettate

• [EC2.50] i EC2 VPN gateway devono essere etichettati

• [EC2.52] i gateway di EC2 transito devono essere etichettati

• [EC2.58] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager Contacts

• [EC2.60] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Incident Manager

• [EC2.61] VPCs deve essere configurato con un endpoint di interfaccia per Systems Manager Quick Setup

• [EC2.80] VPCs deve essere configurato con un endpoint di interfaccia per SageMaker AI Feature Store Runtime

• [EC2.81] VPCs deve essere configurato con un endpoint di interfaccia per AI Metrics Service SageMaker

• [EC2.83] VPCs deve essere configurato con un endpoint di interfaccia per AI Runtime for SageMaker FIPS

• [EC2.93] VPCs deve essere configurato con un endpoint di interfaccia per GuardDuty

• [EC2.100] VPCs deve essere configurato con un endpoint di interfaccia per Amazon MWAA

• [EC2.101] VPCs deve essere configurato con un endpoint di interfaccia per Amazon for MWAA FIPS

• [EC2.102] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA

• [EC2.103] VPCs deve essere configurato con un endpoint di interfaccia per l'ambiente Amazon MWAA FIPS

• [EC2.104] VPCs deve essere configurato con un endpoint di interfaccia per l'operatore Amazon MWAA

• [EC2.113] VPCs deve essere configurato con un endpoint di interfaccia per Data RDS API

• [EC2.117] VPCs deve essere configurato con un endpoint di interfaccia per App Mesh

• [EC2.119] VPCs deve essere configurato con un endpoint di interfaccia per AWS Private CA

• [EC2.121] VPCs deve essere configurato con un endpoint di interfaccia per CodeArtifact API

• [EC2.122] VPCs deve essere configurato con un endpoint di interfaccia per i repository CodeArtifact

• [EC2.124] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.125] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.127] VPCs deve essere configurato con un endpoint di interfaccia per punti di accesso multiregionali S3

• [EC2.128] VPCs deve essere configurato con un endpoint di interfaccia per Query AMB

• [EC2.129] VPCs deve essere configurato con un endpoint di interfaccia per Access Bitcoin AMB

• [EC2.130] VPCs deve essere configurato con un endpoint di interfaccia per Bitcoin Testnet AMB

• [EC2.134] VPCs deve essere configurato con un endpoint di interfaccia per CodeDeploy

• [EC2.138] VPCs deve essere configurato con un endpoint di interfaccia per AWS CodeConnections API

• [EC2.139] VPCs deve essere configurato con un endpoint di interfaccia per Connections AWS CodeStar API

• [EC2.151] VPCs deve essere configurato con un endpoint di interfaccia per App Runner

• [EC2.157] VPCs deve essere configurato con un endpoint di interfaccia per le credenziali IoT Core

• [EC2.158] VPCs deve essere configurato con un endpoint di interfaccia per IoT Core Fleet Hub

• [EC2.162] VPCs deve essere configurato con un endpoint di interfaccia per Amazon Managed Service for Prometheus

• [EC2.163] VPCs deve essere configurato con un endpoint di interfaccia per Elastic Inference Runtime

• [EC2.167] VPCs deve essere configurato con un endpoint di interfaccia per DynamoDB

• [EC2.170] i modelli di EC2 avvio devono utilizzare Instance Metadata Service Version 2 () IMDSv2

• [ECR.1] I repository ECR privati dovrebbero avere la scansione delle immagini configurata

• [ECR.2] I repository ECR privati devono avere configurata l'immutabilità dei tag

• [ECR.3] I ECR repository devono avere almeno una politica del ciclo di vita configurata

• [ECR.4] ECR gli archivi pubblici devono essere etichettati

• [ECS.1] Le definizioni delle ECS attività di Amazon devono avere modalità di rete e definizioni utente sicure.

• [ECS.3] le definizioni delle ECS attività non devono condividere lo spazio dei nomi dei processi dell'host

• [ECS.4] ECS I contenitori devono essere eseguiti come non privilegiati

• [ECS.5] ECS I contenitori devono essere limitati all'accesso in sola lettura ai filesystem root

• [ECS.8] I segreti non devono essere passati come variabili di ambiente del contenitore

• [ECS.9] le definizioni delle ECS attività devono avere una configurazione di registrazione

• [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate

• [ECS.12] ECS i cluster devono utilizzare Container Insights

• [ECS.13] ECS i servizi devono essere etichettati

• [ECS.14] i ECS cluster devono essere etichettati

• [ECS.15] le definizioni delle ECS attività devono essere etichettate

• [EFS.2] EFS I volumi Amazon devono essere inclusi nei piani di backup

• [EFS.3] i punti di EFS accesso devono applicare una directory principale

• [EFS.4] i punti di EFS accesso devono imporre l'identità di un utente

• [EFS.5] i punti di EFS accesso devono essere etichettati

• [EKS.1] gli endpoint EKS del cluster non dovrebbero essere accessibili al pubblico

• [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata

• [EKS.6] EKS i cluster devono essere etichettati

• [EKS.7] le configurazioni dei provider di EKS identità devono essere contrassegnate

• [EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata

• [ELB.10] Classic Load Balancer dovrebbe estendersi su più zone di disponibilità

• [ELB.12] Application Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.13] I Load Balancer per applicazioni, reti e gateway devono estendersi su più zone di disponibilità

• [ELB.14] Classic Load Balancer deve essere configurato con la modalità di mitigazione della desincronizzazione difensiva o più rigorosa

• [ELB.16] Gli Application Load Balancer devono essere associati a un sito Web AWS WAF ACL

• I cluster [ElastiCache.1] ElastiCache (RedisOSS) devono avere i backup automatici abilitati

• [ElastiCache.2] ElastiCache (RedisOSS) i cluster dovrebbero avere gli aggiornamenti automatici delle versioni secondarie abilitati

• [ElastiCache.3] i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• [ElastiCache.4] i gruppi di ElastiCache replica devono essere crittografati quando sono inattivi

• [ElastiCache.5] i gruppi di ElastiCache replica devono essere crittografati in transito

• [ElastiCache.6] I gruppi di replica ElastiCache (RedisOSS) delle versioni precedenti dovrebbero avere Redis abilitato OSS AUTH

• [ElastiCache.7] i ElastiCache cluster non devono utilizzare il gruppo di sottoreti predefinito

• [ElasticBeanstalk.1] Gli ambienti Elastic Beanstalk dovrebbero avere la reportistica sullo stato avanzata abilitata

• [ElasticBeanstalk.2] Gli aggiornamenti della piattaforma gestita da Elastic Beanstalk devono essere abilitati

• [ElasticBeanstalk.3] Elastic Beanstalk dovrebbe trasmettere i log a CloudWatch

• [EMR.2] L'impostazione di EMR blocco dell'accesso pubblico di Amazon deve essere abilitata

• [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch

• [ES.9] I domini Elasticsearch devono essere etichettati

• [EventBridge.2] i bus EventBridge degli eventi devono essere etichettati

• [EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• [EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

• [FSx.1] FSx per i ZFS file system Open deve essere configurato per copiare i tag su backup e volumi

• [FSx.2] FSx per i file system Lustre deve essere configurato per copiare i tag nei backup

• [GlobalAccelerator.1] Gli acceleratori Global Accelerator devono essere etichettati

• [Colla.1] AWS Glue i lavori devono essere etichettati

• [GuardDuty.2] GuardDuty i filtri devono essere etichettati

• [GuardDuty.3] GuardDuty IPSets deve essere taggato

• [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati

• [GuardDuty.7] Il monitoraggio del GuardDuty EKS runtime deve essere abilitato

• [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata

• [GuardDuty.9] GuardDuty RDS La protezione deve essere abilitata

• [IAM.6] L'hardware MFA deve essere abilitato per l'utente root

• [IAM.9] MFA deve essere abilitato per l'utente root

• [IAM.21] le politiche gestite dai IAM clienti che create non dovrebbero consentire azioni jolly per i servizi

• [IAM.23] Gli analizzatori IAM Access Analyzer devono essere etichettati

• [IAM.24] i IAM ruoli devono essere etichettati

• [IAM.25] IAM gli utenti devono essere etichettati

• [IAM.28] IAM L'analizzatore di accesso esterno Access Analyzer deve essere abilitato

• [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

• [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati

• [IoT 2] AWS IoT Core le azioni di mitigazione devono essere etichettate

• [IoT 3] AWS IoT Core le dimensioni devono essere etichettate

• [IoT 4] AWS IoT Core gli autorizzatori devono essere etichettati

• [IoT 5] AWS IoT Core gli alias dei ruoli devono essere etichettati

• [IoT 6] AWS IoT Core le politiche devono essere etichettate

• [Kinesis.1] Gli stream Kinesis devono essere crittografati quando sono inattivi

• [Kinesis.2] Gli stream Kinesis devono essere etichettati

• [KMS.5] KMS le chiavi non devono essere accessibili al pubblico

• [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

• [Lambda.6] Le funzioni Lambda devono essere etichettate

• [Macie.1] Amazon Macie dovrebbe essere abilitato

• [Macie.2] Il rilevamento automatico dei dati sensibili di Macie deve essere abilitato

• [MQ.3] I broker Amazon MQ dovrebbero avere abilitato l'aggiornamento automatico delle versioni secondarie

• [MQ.4] I broker Amazon MQ devono essere etichettati

• [MQ.5] I broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• [MQ.6] I broker RabbitMQ dovrebbero utilizzare la modalità di distribuzione del cluster

• [MSK.1] MSK i cluster devono essere crittografati durante il transito tra i nodi broker

• [MSK.2] i MSK cluster dovrebbero avere configurato un monitoraggio avanzato

• [MSK.3] I connettori MSK Connect devono essere crittografati in transito

• [Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [Neptune.5] I cluster Neptune DB devono avere i backup automatici abilitati

• [Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

• [Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [Neptune.9] I cluster Neptune DB devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità

• [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata

• [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato

• [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi

• [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati

• [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto

• [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati

• [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate

• [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata

• I OpenSearch domini [Opensearch.1] devono avere la crittografia a riposo abilitata

• I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico

• I OpenSearch domini [Opensearch.3] devono crittografare i dati inviati tra i nodi

• La registrazione degli errori del OpenSearch dominio [Opensearch.4] nei log dovrebbe essere abilitata CloudWatch

• I OpenSearch domini [Opensearch.5] devono avere la registrazione di controllo abilitata

• I OpenSearch domini [Opensearch.6] devono avere almeno tre nodi di dati

• I OpenSearch domini [Opensearch.7] devono avere un controllo degli accessi granulare abilitato

• [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS

• I OpenSearch domini [Opensearch.9] devono essere etichettati

• [PCA.1] AWS Private CA l'autorità di certificazione principale deve essere disabilitata

• [RDS.12] IAM l'autenticazione deve essere configurata per i cluster RDS

• [RDS.13] gli aggiornamenti RDS automatici delle versioni secondarie devono essere abilitati

• [RDS.14] I cluster Amazon Aurora dovrebbero avere il backtracking abilitato

• [RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

• [RDS.24] I cluster di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.25] le istanze di RDS database devono utilizzare un nome utente di amministratore personalizzato

• [RDS.26] Le istanze RDS DB devono essere protette da un piano di backup

• [RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

• [RDS.28] I cluster RDS DB devono essere etichettati

• [RDS.29] Le istantanee dei cluster RDS DB devono essere etichettate

• [RDS.30] Le istanze RDS DB devono essere etichettate

• [RDS.31] I gruppi di sicurezza RDS DB devono essere etichettati

• [RDS.32] Gli snapshot RDS DB devono essere etichettati

• [RDS.33] I gruppi di RDS sottoreti DB devono essere etichettati

• [RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch

• [RDS.35] Nei cluster RDS DB dovrebbe essere abilitato l'aggiornamento automatico delle versioni secondarie

• [Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC

• [Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente predefinito di amministratore

• [Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito

• [Redshift.10] I cluster Redshift devono essere crittografati a riposo

• [Redshift.11] I cluster Redshift devono essere etichettati

• [Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere contrassegnate

• [Redshift.13] Le istantanee del cluster Redshift devono essere etichettate

• [Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati

• [Route53.1] I controlli sanitari della Route 53 devono essere etichettati

• [Route53.2] Le zone ospitate pubblicamente su Route 53 devono registrare le interrogazioni DNS

• [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

• [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita

• [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate

• [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3

• [S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita

• [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato

• [S3.20] I bucket generici S3 dovrebbero avere l'opzione di cancellazione abilitata MFA

• [S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

• [SageMaker AI.2] Le istanze di notebook SageMaker AI devono essere avviate in un formato personalizzato VPC

• [SageMaker AI.3] Gli utenti non devono avere accesso root alle istanze di SageMaker notebook AI

• [SES.1] gli elenchi di SES contatti devono essere etichettati

• [SES.2] i set di SES configurazione devono essere etichettati

• [SecretsManager.3] Rimuovi i segreti inutilizzati di Secrets Manager

• [SecretsManager.4] I segreti di Secrets Manager devono essere ruotati entro un determinato numero di giorni

• [SecretsManager.5] I segreti di Secrets Manager devono essere etichettati

• [SNS.3] SNS gli argomenti devono essere etichettati

• [SNS.4] le politiche di accesso agli SNS argomenti non dovrebbero consentire l'accesso pubblico

• [.2] SQS le code devono essere etichettate SQS

• [SSM.4] SSM i documenti non devono essere pubblici

• [StepFunctions.1] Le macchine a stati Step Functions dovrebbero avere la registrazione attivata

• [StepFunctions.2] Le attività di Step Functions devono essere etichettate

• I AWS Transfer Family flussi di lavoro [Transfer.1] devono essere etichettati

• [WAF.1] La ACL registrazione Web globale AWS WAF classica deve essere abilitata

• [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione

• [WAF.3] I gruppi di regole regionali AWS WAF classici devono avere almeno una regola

• [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole

• [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione

• [WAF.7] I gruppi di regole globali AWS WAF classici devono avere almeno una regola

• [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole

• [WAF.11] la ACL registrazione AWS WAF web deve essere abilitata

• [WAF.12] AWS WAF le regole devono avere le metriche abilitate CloudWatch