NIST Security Hub の SP 800-53 Rev. 5 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

NIST Security Hub の SP 800-53 Rev. 5

NIST SP 800-53 Rev. 5 は、米国商取引省の一部である政府機関である米国国立標準技術研究所 (NIST) によって開発されたサイバーセキュリティとコンプライアンスのフレームワークです。このコンプライアンスフレームワークは、情報システムと重要なリソースの可用性、機密性、完全性の保護に役立ちます。米国連邦政府機関および請負業者は、システムを保護するために NIST SP 800-53 に準拠する必要がありますが、非公開企業はサイバーセキュリティリスクを軽減するための指針となるフレームワークとして任意で使用する場合があります。

Security Hub は、一部の NIST SP 800-53 要件をサポートするコントロールを提供します。これらのコントロールは、自動化されたセキュリティチェックによって評価されます。Security Hub コントロールは、手動チェックを必要とする NIST SP 800-53 要件をサポートしていません。さらに、Security Hub コントロールは、各コントロールの詳細で関連要件としてリストされている自動 NIST SP 800-53 要件のみをサポートします。 詳細を表示するには、次のリストからコントロールを選択します。コントロールの詳細に記載されていない関連要件は、現在 Security Hub ではサポートされていません。

他のフレームワークとは異なり、NISTSP 800-53 は要件の評価方法を規定していません。代わりに、フレームワークはガイドラインを提供し、Security Hub NIST SP 800-53 コントロールはサービスがそれらを理解していることを表します。

Security Hub と の統合を使用する場合 AWS Organizations は、複数のアカウントを一元管理し、すべてのアカウントで NIST SP 800-53 をバッチで有効にするには、管理者アカウントから Security Hub マルチアカウントスクリプトを実行できます。

NIST SP 800-53 Rev. 5 の詳細については、NIST「Computer Security Resource Center」を参照してください。

NIST SP 800-53 Rev. 5 に適用されるコントロール

[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

〔アカウント.2] AWS アカウント は の一部である必要があります AWS Organizations 組織

〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります

〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化

〔APIGateway.4] API ゲートウェイはWAFウェブに関連付ける必要があります ACL

〔APIGateway.5] API ゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります

〔APIGateway.8] API ゲートウェイルートは認証タイプを指定する必要があります

〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

〔AppSync.5] AWS AppSync GraphQL はAPIキーで認証APIsしないでください

〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります

〔AutoScaling.3] Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するようにインスタンスを設定する必要があります

[Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください

〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります

〔バックアップ.1] AWS Backup リカバリポイントは保管時に暗号化する必要があります

〔CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

〔CloudFront.3] CloudFront ディストリビューションには転送中の暗号化が必要です

〔CloudFront.4] CloudFront ディストリビューションにはオリジンフェイルオーバーが設定されている必要があります

〔CloudFront.5] CloudFront ディストリビューションではログ記録を有効にする必要があります

〔CloudFront.6] CloudFront ディストリビューションはWAF有効になっている必要があります

〔CloudFront.7] CloudFront ディストリビューションはカスタム SSL/TLS 証明書を使用する必要があります

〔CloudFront.8] CloudFront ディストリビューションは SNI を使用してHTTPSリクエストを処理する必要があります

〔CloudFront.9] CloudFront ディストリビューションは、カスタムオリジンへのトラフィックを暗号化する必要があります

〔CloudFront.10] CloudFront ディストリビューションでは、エッジロケーションとカスタムオリジン間で非推奨のSSLプロトコルを使用しないでください

〔CloudFront.12] CloudFront ディストリビューションは存在しない S3 オリジンを指してはいけません

〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

〔CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります

〔CloudWatch.16] CloudWatch ロググループは、指定された期間保持する必要があります

〔CloudWatch.17] CloudWatch アラームアクションを有効にする必要があります

〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください

〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration

[Config.1] AWS Config を有効にし、サービスにリンクされたロールをリソース記録に使用する必要があります

〔DataFirehose.1] Firehose 配信ストリームは保管時に暗号化する必要があります

〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードを有効にする必要があります

ターゲットデータベースの [DMS.7] DMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

ソースデータベースの [DMS.8] DMSレプリケーションタスクでは、ログ記録が有効になっている必要があります

〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認証を有効にする必要があります

MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります

Redis の [DMS.12] DMSエンドポイントTLSは有効になっているOSS必要があります

[DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

[DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

[DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

[DocumentDB.4] Amazon DocumentDB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[DocumentDB.5] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

[DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります

〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

〔EC2.4] 停止したEC2インスタンスは、指定された期間後に削除する必要があります

〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

〔EC2.10] Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります

〔EC2.12] 未使用の Amazon は削除EC2EIPsする必要があります

〔EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないでください

〔EC2.15] Amazon EC2サブネットはパブリック IP アドレスを自動的に割り当てないでください

〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs

〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

〔EC2.19] セキュリティグループは、高リスクのポートへの無制限のアクセスを許可しないでください

〔EC2.20] の両方のVPNトンネル AWS Site-to-Site VPN接続が起動している必要があります

〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

〔EC2.24] Amazon EC2 準仮想化インスタンスタイプは使用しないでください

〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

〔EC2.28] EBSボリュームはバックアッププランの対象にする必要があります

〔EC2.51] EC2 クライアントVPNエンドポイントでは、クライアント接続のログ記録を有効にする必要があります

〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります

〔ECR.2] ECRプライベートリポジトリにはタグのイミュータビリティを設定する必要があります

〔ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります

〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

〔ECS.2] ECSサービスには、パブリック IP アドレスを自動的に割り当てないでください

〔ECS.3] ECSタスク定義はホストのプロセス名前空間を共有しないでください

〔ECS.4] ECSコンテナは非特権として実行する必要があります

〔ECS.5] ECSコンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります

〔ECS.8] シークレットをコンテナ環境変数として渡さないでください

〔ECS.9] ECSタスク定義にはログ記録設定が必要です

〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります

〔ECS.12] ECSクラスターは Container Insights を使用する必要があります

〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

〔EFS.3] EFS アクセスポイントはルートディレクトリを適用する必要があります

〔EFS.4] EFS アクセスポイントはユーザー ID を適用する必要があります

〔EFS.6] EFSマウントターゲットをパブリックサブネットに関連付けるべきではありません

〔EKS.1] EKSクラスターエンドポイントはパブリックアクセス可能であってはなりません

〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります

〔ElastiCache.1] ElastiCache (Redis OSS) クラスターでは、自動バックアップを有効にする必要があります

〔ElastiCache.2] ElastiCache (Redis OSS) クラスターでは、マイナーバージョンの自動アップグレードを有効にする必要があります

〔ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります

〔ElastiCache.4] ElastiCache (Redis OSS) レプリケーショングループは保管時に暗号化する必要があります

〔ElastiCache.5] ElastiCache (Redis OSS) レプリケーショングループは転送中に暗号化する必要があります

〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

〔ElastiCache.7] ElastiCache (Redis OSS) クラスターはデフォルトのサブネットグループを使用しないでください

〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS終了で設定する必要があります

〔ELB.4] Application Load Balancer は http ヘッダーを削除するように設定する必要があります

〔ELB.5] Application and Classic Load Balancer のログ記録を有効にする必要があります

〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります

〔ELB.7] Classic Load Balancer では、Connection Draining を有効にする必要があります

〔ELB.8] SSLリスナーを持つ Classic Load Balancer は、強力な を持つ事前定義されたセキュリティポリシーを使用する必要があります AWS Config uration

〔ELB.9] Classic Load Balancer では、クロスゾーン負荷分散を有効にする必要があります

〔ELB.10] Classic Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります

〔ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.13] Application、Network、Gateway Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります

〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

〔ELB.16] Application Load Balancer は に関連付ける必要があります AWS WAF ウェブ ACL

〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

〔EMR.2] Amazon EMRブロックパブリックアクセス設定を有効にする必要があります

[ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

[ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

[ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

[ES.4] Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります

[ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

[ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

[ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

[ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

Open ファイルシステムの [FSx.1] FSx ZFSは、タグをバックアップとボリュームにコピーするように設定する必要があります

Lustre ファイルシステムの [FSx.2] FSx は、タグをバックアップにコピーするように設定する必要があります

〔GuardDuty.1] GuardDuty を有効にする必要があります

〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください

〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

〔IAM.4] IAMルートユーザーアクセスキーが存在しません

コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

〔IAM.7] IAMユーザーのパスワードポリシーには強力な設定が必要です

〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

ルートユーザーに対して [IAM.9] を有効にするMFA必要があります

〔IAM.19] はすべてのIAMユーザーに対して有効にMFAする必要があります

作成する [IAM.21] IAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

〔KMS.3] AWS KMS keys 意図せずに削除しないでください

〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

[Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[Lambda.3] Lambda 関数は にある必要があります VPC

[Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります

[Macie.1] Amazon Macie を有効にする必要があります

[Macie.2] Macie 自動機密データ検出を有効にする必要があります

〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります

〔MSK.2] MSKクラスターには拡張モニタリングを設定する必要があります

[MQ.2] ActiveMQ ブローカーは監査ログを にストリーミングする必要があります CloudWatch

[MQ.3] Amazon MQ ブローカーでは、マイナーバージョンの自動アップグレードを有効にする必要があります

[MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

[MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

[Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

[Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

[Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

[Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

[Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

[Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

[Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

[Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

[Neptune.9] Neptune DB クラスターを複数のアベイラビリティーゾーンにデプロイする必要があります

〔NetworkFirewall.1] Network Firewall ファイアウォールは複数のアベイラビリティーゾーンにデプロイする必要があります

〔NetworkFirewall.2] Network Firewall のログ記録を有効にする必要があります

〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります

〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります

〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります

〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください

〔NetworkFirewall.9] Network Firewall ファイアウォールでは、削除保護を有効にする必要があります

[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

[Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません

[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります

[Opensearch.5] OpenSearch ドメインでは、監査ログ記録が有効になっている必要があります

[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

[Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります

[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です

〔PCA.1] AWS Private CA ルート認証機関を無効にする必要があります

〔RDS.1] RDSスナップショットはプライベートである必要があります

〔RDS.2] RDS DB インスタンスは、 によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config uration

〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

〔RDS.4] RDSクラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります

〔RDS.5] RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります

〔RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

〔RDS.7] RDSクラスターでは、削除保護を有効にする必要があります

〔RDS.8] RDS DB インスタンスでは、削除保護を有効にする必要があります

〔RDS.9] RDS DB インスタンスはログを CloudWatch ログに発行する必要があります

RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

〔RDS.11] RDSインスタンスでは、自動バックアップを有効にする必要があります

RDS クラスターには [RDS.12] IAM認証を設定する必要があります

〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

〔RDS.14] Amazon Aurora クラスターではバックトラックを有効にする必要があります

〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

〔RDS.16] RDS DB クラスターは、タグをスナップショットにコピーするように設定する必要があります

〔RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

〔RDS.18] RDSインスタンスは にデプロイする必要があります VPC

〔RDS.19] 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります

〔RDS.20] 重要なデータベースインスタンスRDSイベントには、既存のイベント通知サブスクリプションを設定する必要があります

〔RDS.21] 重要なデータベースパラメータグループRDSイベントにはイベント通知サブスクリプションを設定する必要があります

〔RDS.22] 重要なデータベースセキュリティグループRDSイベントに対してイベント通知サブスクリプションを設定する必要があります

〔RDS.23] RDSインスタンスはデータベースエンジンのデフォルトポートを使用しないでください

〔RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります

〔RDS.25] RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります

〔RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります

〔RDS.27] RDS DB クラスターは保管時に暗号化する必要があります

〔RDS.34] Aurora DB SQLクラスターは監査ログを CloudWatch ログに発行する必要があります

〔RDS.35] RDS DB クラスターでは、マイナーバージョン自動アップグレードを有効にする必要があります

[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターでは、自動スナップショットが有効になっている必要があります

[Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

[Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

[Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

[Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

[Route53.2] Route 53 パブリックホストゾーンはDNSクエリをログに記録する必要があります

[S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

[S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

[S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります

[S3.5] S3 汎用バケットでは、 の使用をリクエストする必要があります SSL

[S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント

[S3.7] S3 汎用バケットはクロスリージョンレプリケーションを使用する必要があります

[S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

[S3.9] S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります

[S3.10] バージョニングが有効になっている S3 汎用バケットにはライフサイクル設定が必要です

[S3.11] S3 汎用バケットでは、イベント通知を有効にする必要があります

[S3.12] ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください

[S3.13] S3 汎用バケットにはライフサイクル設定が必要です

[S3.14] S3 汎用バケットではバージョニングを有効にする必要があります

[S3.15] S3 汎用バケットでは、オブジェクトロックを有効にする必要があります

[S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

[S3.19] S3 アクセスポイントでは、ブロックパブリックアクセス設定を有効にする必要があります

[S3.20] S3 汎用バケットでは、MFA削除を有効にする必要があります

〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません

〔SageMaker.2] SageMaker ノートブックインスタンスはカスタムで起動する必要があります VPC

〔SageMaker.3] SageMaker ユーザーはノートブックインスタンスへのルートアクセスを許可されない

〔SageMaker.4] SageMaker エンドポイントの本番稼働用バリアントの初期インスタンス数は 1 より大きい必要があります

〔SecretsManager.1] Secrets Manager シークレットでは、自動ローテーションを有効にする必要があります

〔SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションする必要があります

〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する

〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

〔ServiceCatalog.1] Service Catalog ポートフォリオは 内で共有する必要があります AWS 組織のみ

〔SNS.1] SNSトピックは、保管時に を使用して暗号化する必要があります AWS KMS

〔SQS.1] Amazon SQSキューは保管時に暗号化する必要があります

〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager

〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが になっている必要があります

〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

〔SSM.4] SSMドキュメントは公開しないでください

[Transfer.2] Transfer Family サーバーはエンドポイント接続にFTPプロトコルを使用しないでください

〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります

〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です

〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です

〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です

〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF0.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

〔WAF0.11] AWS WAF ウェブACLログ記録を有効にする必要があります

〔WAF0.12] AWS WAF ルールでは CloudWatch メトリクスが有効になっている必要があります