サポートされているリージョン - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サポートされているリージョン

次のリージョンを表示するにはAWSSecurity Hub はで利用できます。を参照してください。Security Hub サービスエンドポイント

統合はすべてのリージョンでサポートされていません

一部のリージョンでは利用できない統合もあります。統合がサポートされていない場合は、[統合] ページに表示されません。

中国 (北京) および中国 (寧夏) でサポートされている統合

中国 (北京) および中国 (寧夏) リージョンでは、以下のもののみがサポートされています。との統合AWSのサービス:

  • AWS Firewall Manager

  • Amazon GuardDuty

  • IAM Access Analyzer

  • Systems Manager Explorer および OpsCenter

  • Systems Manager Patch Manager

中国 (北京) および中国 (寧夏) リージョンでは、以下のもののみがサポートされています。サードパーティーの統合:

  • Cloud Custodian

  • FireEye Helix

  • Helecloud

  • IBM QRadar

  • PagerDuty

  • Palo Alto Networks Cortex XSOAR

  • Palo Alto Networks VM-Series

  • Prowler

  • RSA Archer

  • Splunk Enterprise

  • Splunk Phantom

  • ThreatModeler

でサポートされているインテグレーションAWSGovCloud (米国東部) とAWSGovCloud (米国西部)

-AWSGovCloud (米国東部) とAWSGovCloud (米国西部) リージョンでは、以下のもののみがサポートされています。との統合AWSのサービス:

  • Amazon Detective

  • AWS Firewall Manager

  • Amazon GuardDuty

  • Amazon Inspector

  • IAM Access Analyzer

-AWSGovCloud (米国東部) とAWSGovCloud (米国西部) リージョンでは、以下のもののみがサポートされています。サードパーティーの統合:

  • Atlassian Jira Service Manager

  • Atlassian OpsGenie

  • Caveonix Cloud

  • Cloud Custodian

  • Cloud Storage Security Antivirus for Amazon S3

  • cloudtamer.io

  • CrowdStrike Falcon

  • FireEye Helix

  • Forcepoint CASB

  • Forcepoint DLP

  • Forcepoint NGFW

  • MicroFocus ArcSight

  • NETSCOUT Cyber Investigator

  • PagerDuty

  • Palo Alto Networks – Prisma Cloud Compute

  • Palo Alto Networks – Prisma Cloud Enterprise

  • Palo Alto Networks – VM-Series

  • Prowler

  • Rackspace Technology – Cloud Native Security

  • Rapid7 InsightConnect

  • RSA Archer

  • SecureCloudDb

  • ServiceNow ITSM

  • Slack

  • ThreatModeler

  • Vectra AI Cognito Detect

すべてのリージョンでサポートされていないコントロール

以下のリージョンでは、Security Hub コントロールがすべてサポートされていません。各リージョンについて、サポートされていないコントロールをリストに表示します。

米国東部 (オハイオ)

米国東部 (オハイオ) では、以下のコントロールはサポートされていません。

米国西部 (北カリフォルニア)

米国西部 (北カリフォルニア) では、以下のコントロールはサポートされていません。

米国西部 (オレゴン)

以下のコントロールは、米国西部 (オレゴン) ではサポートされていません。

アフリカ (ケープタウン)

アフリカ (ケープタウン) では、以下のコントロールはサポートされていません。

CISAWS基礎ベンチマーク標準

1.4 — アクセスキーは 90 日ごとに更新します。

1.12 — ルートアカウントのアクセスキーが存在しないことを確認します

1.20 - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。

4.1 — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします

4.2 — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[PCI.DMS.1]AWS Database Migration Serviceレプリケーションインスタンスはパブリックであってはならない

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元することはできません

[PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります

[PCI.EC2.5] セキュリティグループでは 0.0.0.0/0 からポート 22 への入力を許可しないでください

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.IAM.1] IAM ルートユーザーアクセスキーが存在してはいけません

[PCI.RDS.1] RDS スナップショットではパブリックアクセスを禁止する必要があります

[PCI.sageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります。

[PCI.SSM.2] Systems Manager によって管理されるインスタンスは、アソシエーションコンプライアンスステータスがCOMPLIANT

AWS の基本的なセキュリティのベストプラクティス標準

[ACM.1] インポートされた ACM 証明書は、指定された期間後に更新する必要があります

[APIGateway.1] API Gateway REST および WebSocket API ロギングを有効にする必要があります

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[DMS.1]AWS Database Migration Serviceレプリケーションインスタンスはパブリックであってはならない

[EC2.1] Amazon EBS スナップショットは、パブリックであってはなりません。これは誰でも復元できるかどうかによって判断されます

[EC2.3] アタッチされた EBS ボリュームは保管時に暗号化する必要があります

[EC2.4] 停止した EC2 インスタンスは、指定された期間後に削除する必要があります

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

[EFS.1] を使用して、保管中のファイルデータを暗号化するように設定する必要がありますAWS KMS

[EFS.2] Amazon EFS ボリュームはバックアッププラン内にある必要があります

[ELB.4] HTTP ヘッダーを削除するようにアプリケーションロードバランサーを設定する必要があります

[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[EMR.1] Amazon EMR クラスターマスターノードはパブリック IP アドレスを持つべきではありません

[ES.3] Elasticsearch ドメインはノード間で送信されるデータを暗号化する必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.3] IAM ユーザーのアクセスキーは 90 日ごとに更新する必要があります

[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.9] データベースロギングを有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[Redshift.3] Amazon Redshift クラスターで自動スナップショットが有効になっている必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスしてはいけません

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[SSM.3] Systems Manager によって管理されるインスタンスは、アソシエーションコンプライアンスステータスがCOMPLIANT

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

アジアパシフィック (香港)

アジアパシフィック (香港) では、以下のコントロールはサポートされていません。

アジアパシフィック (ムンバイ)

アジアパシフィック (ムンバイ) では、以下のコントロールはサポートされていません。

アジアパシフィック (大阪)

アジアパシフィック (大阪) では、以下のコントロールはサポートされていません。

CISAWS基礎ベンチマーク標準

1.12 — ルートアカウントのアクセスキーが存在しないことを確認します

1.20 - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。

4.1 — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします

4.2 — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[PCI.DMS.1]AWS Database Migration Serviceレプリケーションインスタンスはパブリックであってはならない

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元することはできません

[PCI.EC2.5] セキュリティグループでは 0.0.0.0/0 からポート 22 への入力を許可しないでください

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[PCI.ES.1] ElasticSearch ドメインは VPC 内に存在する必要があります

[PCI.ES.2] Elasticsearch ドメインは保存時の暗号化を有効にする必要があります

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.IAM.1] IAM ルートユーザーアクセスキーが存在してはいけません

[PCI.Lambda.1] Lambda 関数はパブリックアクセスを禁止する必要があります

[PCI.Lambda.2] ラムダ関数は VPC にある必要があります

[PCI.RDS.1] RDS スナップショットではパブリックアクセスを禁止する必要があります

[PCI.redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

[PCI.S3.6] S3 ブロックパブリックアクセス設定を有効にする必要があります

[PCI.sageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります。

[PCI.SSM.2] Systems Manager によって管理されるインスタンスは、アソシエーションコンプライアンスステータスがCOMPLIANT

AWS の基本的なセキュリティのベストプラクティス標準

[Apigateway.2] API Gateway REST API ステージは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[Apigateway.3] API Gateway REST API ステージには、AWS X-Rayイネーブルトレース

[Apigateway.4] API Gateway は、AWS WAFウェブ ACL

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[EC2.15] EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではありません

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用すべきではない

[EC2.18] セキュリティグループでは、許可されたポートに対して制限のない着信トラフィックのみを許可する必要があります

[ECS.1] Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です

[ECS.2] Amazon ECS サービスにはパブリック IP アドレスを自動的に割り当てるべきではありません

[ElasticBeanStalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

[ElasticBeanStalk.2] Elastic Beanstalk マネージドプラットフォームのアップデートを有効にする必要があります

[ELB.4] HTTP ヘッダーを削除するようにアプリケーションロードバランサーを設定する必要があります

[IAM.21] 作成する IAM カスタマー管理ポリシーは、サービスのワイルドカードアクションを許可しないでください。

[KMS.3]AWS KMSキーを意図せずに削除すべきではない

[RDS.9] データベースロギングを有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[Redshift.3] Amazon Redshift クラスターで自動スナップショットが有効になっている必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[S3.8] バケットレベルで S3 ブロックパブリックアクセス設定を有効にする必要があります

[SecretsManager.3] 未使用のSecrets Manager のシークレットを削除する

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

アジアパシフィック (ソウル)

アジアパシフィック (ソウル) では、以下のコントロールはサポートされていません。

アジアパシフィック (シンガポール)

アジアパシフィック (シンガポール) では、以下のコントロールはサポートされていません。

アジアパシフィック (シドニー)

アジアパシフィック (シドニー) では、以下のコントロールはサポートされていません。

アジアパシフィック (東京)

アジアパシフィック (東京) では、以下のコントロールはサポートされていません。

カナダ (中部)

カナダ (中部) では、以下のコントロールはサポートされていません。

中国 (北京)

中国 (北京) では、以下のコントロールはサポートされていません。

CISAWS基礎ベンチマーク標準

1.13 —「ルート」アカウントで MFA を有効にします

1.14 —「ルート」アカウントでハードウェア MFA を有効にします。

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります

[PCI.Lambda.1] Lambda 関数はパブリックアクセスを禁止する必要があります

[PCI.Lambda.2] ラムダ関数は VPC にある必要があります

[PCI.sageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

AWS の基本的なセキュリティのベストプラクティス標準

[ACM.1] インポートされた ACM 証明書は、指定された期間後に更新する必要があります

[Apigateway.2] API Gateway REST API ステージは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[Apigateway.3] API Gateway REST API ステージには、AWS X-Rayイネーブルトレース

[Apigateway.4] API Gateway は、AWS WAFウェブ ACL

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[EC2.15] EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではありません

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[ECS.1] Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です

[ElasticBeanStalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

[ElasticBeanStalk.2] Elastic Beanstalk マネージドプラットフォームのアップデートを有効にする必要があります

[ES.3] Elasticsearch ドメインはノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログを有効にする必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマー管理ポリシーは、サービスのワイルドカードアクションを許可しないでください。

[Lambda.1] Lambda a関数ポリシーではパブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[RDS.7] RDS クラスターで削除保護を有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを構成する必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[S3.8] バケットレベルで S3 ブロックパブリックアクセス設定を有効にする必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスしてはいけません

[SecretsManager.3] 未使用のSecrets Manager のシークレットを削除する

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

中国 (寧夏)

中国 (寧夏) では、以下のコントロールはサポートされていません。

CISAWS基礎ベンチマーク標準

1.13 —「ルート」アカウントで MFA を有効にします

1.14 —「ルート」アカウントでハードウェア MFA を有効にします。

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります

[PCI.Lambda.1] Lambda 関数はパブリックアクセスを禁止する必要があります

[PCI.Lambda.2] ラムダ関数は VPC にある必要があります

[PCI.sageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

AWS の基本的なセキュリティのベストプラクティス標準

[ACM.1] インポートされた ACM 証明書は、指定された期間後に更新する必要があります

[Apigateway.2] API Gateway REST API ステージは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[Apigateway.3] API Gateway REST API ステージには、AWS X-Rayイネーブルトレース

[Apigateway.4] API Gateway は、AWS WAFウェブ ACL

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[EC2.15] EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではありません

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[ECS.1] Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です

[ElasticBeanStalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

[ElasticBeanStalk.2] Elastic Beanstalk マネージドプラットフォームのアップデートを有効にする必要があります

[ES.3] Elasticsearch ドメインはノード間で送信されるデータを暗号化する必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログを有効にする必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマー管理ポリシーは、サービスのワイルドカードアクションを許可しないでください。

[Lambda.1] Lambda a関数ポリシーではパブリックアクセスを禁止する必要があります

[Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

[RDS.7] RDS クラスターで削除保護を有効にする必要があります

[RDS.9] データベースロギングを有効にする必要があります

[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[Redshift.3] Amazon Redshift クラスターで自動スナップショットが有効になっている必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[S3.8] バケットレベルで S3 ブロックパブリックアクセス設定を有効にする必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスしてはいけません

[SecretsManager.3] 未使用のSecrets Manager のシークレットを削除する

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

欧州 (フランクフルト)

欧州 (フランクフルト) では、以下のコントロールはサポートされていません。

欧州 (アイルランド)

欧州 (アイルランド) では、以下のコントロールはサポートされていません。

欧州 (ロンドン)

欧州 (ロンドン) では、以下のコントロールはサポートされていません。

ヨーロッパ (ミラノ)

欧州 (ミラノ) では、以下のコントロールはサポートされていません。

CISAWS基礎ベンチマーク標準

1.4 — アクセスキーは 90 日ごとに更新します。

1.20 - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。

4.1 — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします

4.2 — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[PCI.DMS.1]AWS Database Migration Serviceレプリケーションインスタンスはパブリックであってはならない

[PCI.EC2.1] Amazon EBS スナップショットをパブリックに復元することはできません

[PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります

[PCI.EC2.5] セキュリティグループでは 0.0.0.0/0 からポート 22 への入力を許可しないでください

[PCI.ELBV2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.RDS.1] RDS スナップショットではパブリックアクセスを禁止する必要があります

[PCI.S3.6] S3 ブロックパブリックアクセス設定を有効にする必要があります

[PCI.sageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

[PCI.SSM.1] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります。

[PCI.SSM.2] Systems Manager によって管理されるインスタンスは、アソシエーションコンプライアンスステータスがCOMPLIANT

AWS の基本的なセキュリティのベストプラクティス標準

[ACM.1] インポートされた ACM 証明書は、指定された期間後に更新する必要があります

[APIGateway.1] API Gateway REST および WebSocket API ロギングを有効にする必要があります

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[DMS.1]AWS Database Migration Serviceレプリケーションインスタンスはパブリックであってはならない

[EC2.1] Amazon EBS スナップショットは、パブリックであってはなりません。これは誰でも復元できるかどうかによって判断されます

[EC2.3] アタッチされた EBS ボリュームは保管時に暗号化する必要があります

[EC2.4] 停止した EC2 インスタンスは、指定された期間後に削除する必要があります

[EC2.8] EC2 インスタンスは IMDSv2 を使用する必要があります

[EFS.1] を使用して、保管中のファイルデータを暗号化するように設定する必要がありますAWS KMS

[EFS.2] Amazon EFS ボリュームはバックアッププラン内にある必要があります

[ELB.4] HTTP ヘッダーを削除するようにアプリケーションロードバランサーを設定する必要があります

[ELBv2.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

[EMR.1] Amazon EMR クラスターマスターノードはパブリック IP アドレスを持つべきではありません

[ES.3] Elasticsearch ドメインはノード間で送信されるデータを暗号化する必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.3] IAM ユーザーのアクセスキーは 90 日ごとに更新する必要があります

[KMS.3]AWS KMSキーを意図せずに削除すべきではない

[RDS.1] RDS スナップショットはプライベートである必要があります

[RDS.9] データベースロギングを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

[Redshift.3] Amazon Redshift クラスターで自動スナップショットが有効になっている必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[SageMaker.1] SageMaker ノートブックインスタンスは、インターネットに直接アクセスしてはいけません

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[SSM.3] Systems Manager によって管理されるインスタンスは、アソシエーションコンプライアンスステータスがCOMPLIANT

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

欧州 (パリ)

欧州 (パリ) では、以下のコントロールはサポートされていません。

欧州 (ストックホルム)

欧州 (ストックホルム) では、以下のコントロールはサポートされていません。

中東 (バーレーン)

以下のコントロールは、中東 (バーレーン) ではサポートされていません。

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.S3.6] S3 ブロックパブリックアクセス設定を有効にする必要があります

AWS の基本的なセキュリティのベストプラクティス標準

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[GuardDuty.1] GuardDuty を有効にする必要があります

[RDS.7] RDS クラスターで削除保護を有効にする必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを構成する必要があります

[Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

[S3.1] S3 ブロックパブリックアクセス設定を有効にする必要があります

[SSM.2] Systems Manager によって管理されるすべての EC2 インスタンスは、パッチ適用要件に準拠している必要があります。

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

南米 (サンパウロ)

以下のコントロールは、南米 (サンパウロ) ではサポートされていません。

AWS の基本的なセキュリティのベストプラクティス標準

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[RDS.7] RDS クラスターで削除保護を有効にする必要があります

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを構成する必要があります

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

AWS GovCloud (米国東部)

では、以下のコントロールはサポートされていません。AWSGovCloud (米国東部)。

CISAWS基礎ベンチマーク標準

1.13 —「ルート」アカウントで MFA を有効にします

1.14 —「ルート」アカウントでハードウェア MFA を有効にします。

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[PCI.GuardDuty.1] GuardDuty を有効にする必要があります

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります

[PCI.sageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります

AWS の基本的なセキュリティのベストプラクティス標準

[Apigateway.2] API Gateway REST API ステージは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[Apigateway.3] API Gateway REST API ステージには、AWS X-Rayイネーブルトレース

[Apigateway.4] API Gateway は、AWS WAFウェブ ACL

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[DynamoDB.1] DynamoDB テーブルは需要に応じて自動的に容量をスケーリングする必要があります

[EC2.15] EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではありません

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用すべきではない

[ECS.1] Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です

[EFS.2] Amazon EFS ボリュームはバックアッププラン内にある必要があります

[ElasticBeanStalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

[ElasticBeanStalk.2] Elastic Beanstalk マネージドプラットフォームのアップデートを有効にする必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログを有効にする必要があります

[GuardDuty.1] GuardDuty を有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマー管理ポリシーは、サービスのワイルドカードアクションを許可しないでください。

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[S3.8] バケットレベルで S3 ブロックパブリックアクセス設定を有効にする必要があります

[SecretsManager.3] 未使用のSecrets Manager のシークレットを削除する

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります

AWS GovCloud (米国西部)

では、以下のコントロールはサポートされていません。AWSGovCloud (米国西部)。

CISAWS基礎ベンチマーク標準

1.13 —「ルート」アカウントで MFA を有効にします

1.14 —「ルート」アカウントでハードウェア MFA を有効にします。

Payment Card Industry Data Security Standard (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[PCI.CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[PCI.IAM.4] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[PCI.IAM.5] ルートユーザーに対して仮想 MFA を有効にする必要があります

AWS の基本的なセキュリティのベストプラクティス標準

[Apigateway.2] API Gateway REST API ステージは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

[Apigateway.3] API Gateway REST API ステージには、AWS X-Rayイネーブルトレース

[Apigateway.4] API Gateway は、AWS WAFウェブ ACL

[CloudFront.1] CloudFront ディストリビューションにはデフォルトのルートオブジェクトが設定されている必要があります

[CloudFront.2] CloudFront ディストリビューションでは、オリジンアクセスアイデンティティを有効にする必要があります

[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要になるはずです

[CloudFront.4] CloudFront ディストリビューションにはオリジンフェールオーバーが設定されている必要があります

[CloudFront.5] CloudFront ディストリビューションでロギングを有効にする必要があります

[CloudFront.6] CloudFront ディストリビューションには以下が必要ですAWS WAFenabled

[CodeBuild.1] CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります

[CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

[DynamoDB.1] DynamoDB テーブルは需要に応じて自動的に容量をスケーリングする必要があります

[EC2.15] EC2 サブネットはパブリック IP アドレスを自動的に割り当てるべきではありません

[EC2.16] 未使用のネットワークアクセスコントロールリストを削除する必要があります

[EC2.17] EC2 インスタンスは複数の ENI を使用すべきではない

[ECS.1] Amazon ECS タスク定義には、安全なネットワークモードとユーザー定義が必要です

[EFS.2] Amazon EFS ボリュームはバックアッププラン内にある必要があります

[ElasticBeanStalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

[ElasticBeanStalk.2] Elastic Beanstalk マネージドプラットフォームのアップデートを有効にする必要があります

[ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログを有効にする必要があります

[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

[IAM.21] 作成する IAM カスタマー管理ポリシーは、サービスのワイルドカードアクションを許可しないでください。

[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります

[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーン用に設定する必要があります

[Redshift.7] Amazon Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

[S3.8] バケットレベルで S3 ブロックパブリックアクセス設定を有効にする必要があります

[SecretsManager.3] 未使用のSecrets Manager のシークレットを削除する

[SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

[WAF.1]AWS WAFクラシックグローバル Web ACL ロギングをイネーブルにする必要があります