サービスマネージドスタンダード： AWS Control Tower

このセクションでは、サービスマネージドスタンダード: について説明します AWS Control Tower。

サービスマネージドスタンダード AWS Control Towerとは

この標準は、 AWS Security Hub および のユーザー向けに設計されています AWS Control Tower。これにより、 AWS Control Tower サービス内の Security Hub の検出コントロール AWS Control Tower とともに、 のプロアクティブコントロールを設定できます。

プロアクティブコントロールは、ポリシー違反や設定ミスにつながる可能性のあるアクションにフラグを付けるため、 がコンプライアンス AWS アカウント を維持するのに役立ちます。検出コントロールは、 AWS アカウント内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。 AWS 環境のプロアクティブコントロールと検出コントロールを有効にすることで、開発のさまざまな段階でセキュリティ体制を強化できます。

ヒント

サービスマネージド標準は、 AWS Security Hub が管理する標準とは異なります。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「Security Hub のサービスマネージドスタンダード」を参照してください。

Security Hub コンソールと API では、サービスマネージド Standard: AWS Control Tower と他の Security Hub 標準を表示できます。

標準の作成

この標準は、 で標準を作成する場合にのみ使用できます AWS Control Tower。 AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にしたときに標準を作成します。

• AWS Control Tower コンソール

• AWS Control Tower API ( EnableControl API を呼び出す）

• AWS CLI ( enable-control コマンドを実行します）

Security Hub コントロールは、 AWS Control Tower コンソールで SH.ControlID (SH.CodeBuild.1 など) として識別されます。

標準を作成するときに、Security Hub をまだ有効にしていない場合は、Security Hub AWS Control Tower も有効にします。

を設定していない場合 AWS Control Tower、Security Hub コンソール、Security Hub API、または でこの標準を表示またはアクセスすることはできません AWS CLI。をセットアップした場合でも AWS Control Tower、Security Hub でこの標準を表示またはアクセスするには、まず前述の方法のいずれか AWS Control Tower を使用して で標準を作成する必要があります。

この標準は、 を含む、 AWS リージョンAWS Control Tower が利用可能な でのみ使用できます AWS GovCloud (US)。

標準のコントロールの有効化と無効化

AWS Control Tower コンソールで標準を作成したら、両方のサービスで標準とその使用可能なコントロールを表示できます。

最初に標準を作成すると、これに自動的に有効化されたコントロールはありません。さらに、Security Hub が新しいコントロールを追加すると、サービスマネージドスタンダード: に対して自動的に有効になるわけではありません AWS Control Tower。次のいずれかの方法 AWS Control Tower を使用して、 で標準のコントロールを有効または無効にする必要があります。

• AWS Control Tower コンソール

• AWS Control Tower API ( EnableControlおよび DisableControl APIsを呼び出す）

• AWS CLI ( コマンドenable-controlと disable-control コマンドを実行します）

でコントロールの有効化ステータスを変更すると AWS Control Tower、その変更は Security Hub にも反映されます。

ただし、 で有効になっている Security Hub でコントロールを無効にすると、コントロールドリフト AWS Control Tower が発生します。のコントロールステータスは と AWS Control Tower 表示されますDrifted。このドリフトを解決するには、 AWS Control Tower コンソールで OU の再登録を選択するか、前述の方法のいずれか AWS Control Tower を使用して でコントロールを無効化および再有効化します。

で有効化アクションと無効化アクションを完了すると、制御ドリフトを回避 AWS Control Tower できます。

でコントロールを有効または無効にすると AWS Control Tower、アクションはアカウントとリージョン全体に適用されます。Security Hub でコントロールを有効または無効にした場合 (標準では推奨されません)、アクションは現在のアカウントとリージョンにのみ適用されます。

注記

中央設定は、サービスマネージドスタンダード: の管理には使用できません AWS Control Tower。中央設定を使用する場合は、 AWS Control Tower サービスのみを使用して、一元管理されたアカウントに対してこの標準のコントロールを有効または無効にできます。

有効化ステータスとコントロールステータスの表示

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。

• Security Hub コンソール、Security Hub API、または AWS CLI

• AWS Control Tower コンソール

• AWS Control Tower 有効なコントロールのリストを表示する API ( ListEnabledControls API を呼び出す）

• AWS CLI 有効なコントロールのリストを表示するには ( list-enabled-controls コマンドを実行）

で無効にしたコントロール AWS Control Tower は、Security Hub Disabledでそのコントロールを明示的に有効にしない限り、Security Hub で の有効化ステータスになります。

Security Hub は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「コントロールの詳細の表示」 を参照してください。

コントロールのステータスに基づいて、Security Hub はサービスマネージドスタンダードのセキュリティスコアを計算します AWS Control Tower。このスコアは Security Hub のみで確認できます。また、Security Hub で表示できるのは統制結果のみです。標準のセキュリティスコアとコントロールの検出結果は では使用できません AWS Control Tower。

注記

サービスマネージドスタンダード: のコントロールを有効にすると AWS Control Tower、Security Hub が既存の AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。Security Hub で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

標準を削除する

次のいずれかの方法を使用して、該当するすべてのコントロールを無効にする AWS Control Tower ことで、 でこの標準を削除できます。

• AWS Control Tower コンソール

• AWS Control Tower API ( DisableControl API を呼び出す）

• AWS CLI ( disable-control コマンドを実行します）

すべてのコントロールを無効にすることにより、 AWS Control Tower のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。で標準を削除すると、Security Hub コンソールの標準ページ AWS Control Tower から削除され、Security Hub API または を使用してアクセスできなくなります AWS CLI。

注記

Security Hub で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。

Security Hub サービスを無効にすると、サービスマネージドスタンダード AWS Control Tower および有効化したその他の標準が削除されます。

サービスマネージドスタンダードの検出結果フィールド形式： AWS Control Tower

サービスマネージドスタンダード: を作成し、そのコントロールを有効にする AWS Control Tower と、Security Hub でコントロールの検出結果の受信が開始されます。Security Hub は、AWS Security Finding 形式 (ASFF) で統制結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) および GeneratorId の ASFF 値です。

• 標準 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

サービスマネージドスタンダード: の検出結果のサンプルについては AWS Control Tower、「」を参照してくださいSecurity Hub でのコントロール検出結果のサンプル。

サービスマネージドスタンダードに適用されるコントロール： AWS Control Tower

サービスマネージドスタンダード: は、 AWS Foundational Security Best Practices (FSBP) 標準の一部であるコントロールのサブセット AWS Control Tower をサポートします。コントロールを選択すると、失敗した検出結果の修正ステップなど、そのコントロールに関する情報が表示されます。

次のリストは、サービスマネージドスタンダードで使用可能なコントロールを示しています AWS Control Tower。コントロールに対するリージョンの制限は、FSBP 標準のコロラリーコントロールに対するリージョンの制限と一致します。このリストには、標準に依存しないセキュリティコントロール ID が表示されます。 AWS Control Tower コンソールでは、コントロール IDs は SH.ControlID (SH.CodeBuild.1 など) としてフォーマットされます。Security Hub では、[統合されたコントロールの検出結果] が無効になっている場合、ProductFields.ControlId フィールドに標準ベースのコントロール ID が使用されます。標準ベースのコントロール ID は、CT.ControlId (CT.CodeBuild.1 など) としてフォーマットされます。

• [Account.1] のセキュリティ連絡先情報は に提供する必要があります AWS アカウント

• [ACM.1] インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります

• [ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります

• [APIGateway.1] API Gateway REST および WebSocket API 実行ログ記録を有効にする必要があります

• [APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

• [APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります

• [APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります

• [APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります

• [APIGateway.8] API Gateway ルートには認可タイプを指定する必要があります

• [APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

• [AppSync.5] AWS AppSync GraphQL APIsは API キーで認証しないでください

• [AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある

• [AutoScaling.2] Amazon EC2 Auto Scaling グループは、複数のアベイラビリティーゾーンをカバーする必要があります

• [AutoScaling.3] Auto Scaling グループ起動設定は、EC2 インスタンスを、インスタンスメタデータサービスバージョン 2 (IMDSv2) を必要とするように設定する必要があります

• [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動した Amazon EC2 インスタンスは、パブリック IP アドレスを含みません

• [AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

• [AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2 起動テンプレートを使用する必要があります

• [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。

• [CloudTrail.2] CloudTrail は保管時の暗号化を有効にする必要があります

• [PCI.CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

• [CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります

• [CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します

• [CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください

• [CodeBuild.2] CodeBuild プロジェクト環境変数にクリアテキストの認証情報を含めることはできません

• [CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

• [CodeBuild.4] CodeBuild AWS Configプロジェクト環境にはログ記録設定が必要です

• [DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

• [DMS.9] DMS エンドポイントは SSL を使用する必要があります。

• [DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

• [DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

• [DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

• [DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

• [DynamoDB.2] DynamoDB テーブルでは、ポイントインタイムリカバリが有効になっている必要があります。

• [DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

• [EC2.1] Amazon EBS スナップショットはパブリックに復元できないようにすることをお勧めします

• [EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします

• [EC2.3] アタッチされた Amazon EBS ボリュームは、保管時に暗号化することをお勧めします

• [EC2.4] 停止した EC2 インスタンスは、指定した期間後に削除する必要があります

• [EC2.6] すべての VPC で VPC フローログ記録を有効にすることをお勧めします

• [EC2.7] EBS のデフォルト暗号化を有効にすることをお勧めします

• [EC2.8] EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用することをお勧めします

• [EC2.9] Amazon EC2 インスタンスは、パブリック IPv4 アドレスを未設定にすることをお勧めします

• [EC2.10] Amazon EC2 サービス用に作成された VPC エンドポイントを使用するようにAmazon EC2 を設定することをお勧めします

• [EC2.15] Amazon EC2 サブネットは、パブリック IP アドレスを自動的に割り当てないことをお勧めします

• [EC2.16] 未使用のネットワークアクセスコントロールリストを削除することをお勧めします

• [EC2.17] Amazon EC2 インスタンスが複数の ENI を使用しないようにすることをお勧めします

• [EC2.18] セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可することをお勧めします

• [EC2.19] セキュリティグループは、リスクの高いポートへの無制限アクセスを許可してはいけません

• [EC2.20] AWS Site-to-Site VPN トンネルが稼働している必要があります

• [EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります

• [EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします

• [EC2.23] Amazon EC2 Transit Gateway が VPC アタッチメントリクエストを自動的に受け付けないようにすることをお勧めします

• [EC2.25] Amazon EC2 起動テンプレートがパブリック IP をネットワークインターフェイスに割り当てないようにすることをお勧めします

• [ECR.1] ECR プライベートリポジトリでは、イメージスキャニングが設定されている必要があります

• [ECR.2] ECR プライベートリポジトリでは、タグのイミュータビリティが設定されている必要があります

• [ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーが設定されている必要があります

• [ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードとユーザー定義が必要です。

• [ECS.2] ECS サービスには、パブリック IP アドレスを自動で割り当てないでください

• [ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を共有しないでください

• [ECS.4] ECS コンテナは、非特権として実行する必要があります

• [ECS.5] ECS コンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります。

• [ECS.8] シークレットは、コンテナ環境の変数として渡さないでください

• [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実行する必要があります。

• [ECS.12] ECS クラスターはコンテナインサイトを使用する必要があります

• [EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

• [EFS.2] Amazon EFS ボリュームは、バックアッププランに含める必要があります

• [EFS.3] EFS アクセスポイントは、ルートディレクトリを適用する必要があります

• [EFS.4] EFS アクセスポイントは、ユーザー ID を適用する必要があります

• [EKS.1] EKS クラスターエンドポイントがパブリックにアクセスできないようにする必要があります

• [EKS.2] EKS クラスターは、サポートされている Kubernetes バージョンで実行する必要があります。

• [ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーを有効にする必要があります

• [ElastiCache.4] ElastiCache レプリケーショングループは保管中に暗号化する必要があります

• [ElastiCache.5] ElastiCache レプリケーショングループは転送時に暗号化する必要があります

• [ElastiCache.6] 以前のバージョンの ElastiCache (Redis OSS) レプリケーショングループでは Redis OSS AUTH を有効にする必要があります

• [ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります。

• [ElasticBeanstalk.2] Elastic Beanstalk のマネージドプラットフォームの更新を有効にする必要があります

• [ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

• [ELB.2] SSL/HTTPS リスナーを使用する Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

• [ELB.3] Classic Load Balancer のリスナーは、HTTPS または TLS ターミネーションで設定する必要があります

• [ELB.4] Application Load Balancer は、無効な http ヘッダーを削除するように設定する必要があります

• [ELB.5] アプリケーションおよび Classic Load Balancer のログ記録を有効にする必要があります

• [ELB.6] アプリケーション、ゲートウェイ、および Network Load Balancer で削除保護を有効にする必要があります

• [ELB.7] Classic Load Balancers は、Connection Draining を有効にする必要があります

• [ELB.8] SSL リスナーを使用する Classic Load Balancer は、強力な AWS Config設定を持つ事前定義されたセキュリティポリシーを使用する必要があります

• [ELB.9] Classic Load Balancer では、クロスゾーンロードバランシングが有効になっている必要があります

• [ELB.10] Classic Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

• [ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで構成する必要があります

• [ELB.13] Application、Network、Gateway Load Balancer は、複数のアベイラビリティーゾーンにまたがっている必要があります

• [ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

• [EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります

• [ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

• [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

• [ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

• [ES.4] CloudWatch Logs への Elasticsearch ドメインエラーログ記録を有効にする必要があります

• [ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

• [ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

• [ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

• [ES.8] Elasticsearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります

• [EventBridge.3] Amazon EventBridge カスタムイベントバスにリソースポリシーがアタッチされている必要があります

• [GuardDuty.1] GuardDuty を有効にする必要があります

• [IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

• [IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください

• [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります

• [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません

• [IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります

• [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります

• [IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です

• [IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります

• [IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません

• [Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

• [KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください

• [KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください

• [KMS.3] 意図せずに削除 AWS KMS keys することはできません

• [KMS.4] AWS KMS キーローテーションを有効にする必要があります

• [Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

• [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

• [Lambda.3] Lambda 関数は VPC 内に存在する必要があります

• [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります

• [MSK.1] MSK クラスターはブローカーノード間の転送時に暗号化される必要があります

• [MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

• [MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

• [Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

• [Neptune.2] Neptune DB クラスターでは、監査ログを CloudWatch Logs に発行する必要があります

• [Neptune.3] Neptune DB クラスタースナップショットはパブリックにしないでください

• [Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

• [Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

• [Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

• [Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります

• [Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

• [Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

• [NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。

• [NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。

• [NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください

• [Opensearch.1] OpenSearch ドメインは保管中の暗号化を有効にする必要があります

• [Opensearch.2] OpenSearch ドメインがパブリックにアクセスできないようにする必要があります

• [Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

• [Opensearch.4] CloudWatch Logs への OpenSearch ドメインエラーのログ記録を有効にする必要があります

• [Opensearch.5] OpenSearch ドメインでは、監査ログ記録を有効にする必要があります

• [Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

• [Opensearch.7] OpenSearch ドメインは、きめ細かなアクセスコントロールを有効にする必要があります

• [Opensearch.8] OpenSearch ドメインへの接続は最新の TLS セキュリティポリシーを使用して暗号化する必要があります

• [RDS.1] RDS スナップショットはプライベートである必要があります

• [RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります

• [RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。

• [RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります

• [RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります

• [RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

• [RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります

• [RDS.9] RDS DB インスタンスは CloudWatch Logs にログを発行する必要があります

• [RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります

• [RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります

• [RDS.12] IAM 認証は RDS クラスター用に設定する必要があります

• [RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

• [RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります

• [RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

• [RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります

• [RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります

• [RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります

• [RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります

• [RDS.27] RDS DB クラスターは保管中に暗号化する必要があります

• [PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

• [Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

• [Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

• [Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

• [Redshift.7] Redshift クラスターは拡張 VPC ルーティングを使用する必要があります

• [Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

• [Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

• [Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

• [S3.1] S3 汎用バケットではブロックパブリックアクセスの設定が有効になっている必要があります。

• [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

• [S3.3] S3 汎用バケットではパブリック書き込みアクセスをブロックする必要があります。

• [S3.5] S3 汎用バケットではリクエストに SSL を使用する必要があります。

• [S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント

• [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

• [S3.9] S3 汎用バケットは、サーバーアクセスログ記録を有効にする必要があります

• [S3.12] ACL は、S3 汎用バケットへのユーザーアクセスの管理に使用しないでください。

• [S3.13] S3 汎用バケットにはライフサイクル設定が必要です

• [S3.17] S3 汎用バケットは、保管時に で暗号化する必要があります AWS KMS keys

• [SageMaker.1] Amazon SageMaker AI ノートブックインスタンスは、インターネットに直接アクセスできません

• [SageMaker.2] SageMaker AI ノートブックインスタンスはカスタム VPC で起動する必要があります

• [SageMaker.3] ユーザーには SageMaker AI ノートブックインスタンスへのルートアクセスを許可しないでください

• [SecretsManager.1] Secrets Manager のシークレットは、自動ローテーションを有効にする必要があります

• [SecretsManager.2] 自動ローテーションを設定した Secrets Manager のシークレットは正常にローテーションする必要があります

• [SecretsManager.3] 未使用の Secrets Manager のシークレットを削除します

• [SecretsManager.4] Secrets Manager のシークレットは、指定された日数以内にローテーションする必要があります

• [SQS.1] Amazon SQS キューは保管中に暗号化する必要があります

• [SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager

• [SSM.2] Systems Manager によって管理される Amazon EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります

• [SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります

• [SSM.4] SSM ドキュメントはパブリックにしないでください

• [WAF.2] AWS WAF クラシックリージョンルールには少なくとも 1 つの条件が必要です

• [WAF.3] AWS WAF クラシックリージョンルールグループには、少なくとも 1 つのルールが必要です

• [WAF.4] AWS WAF Classic Regional Web ACLs には、少なくとも 1 つのルールまたはルールグループが必要です

• [WAF.10] AWS WAF ウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です

この標準の詳細については、「AWS Control Tower ユーザーガイド」の「Security Hub controls」(Security Hub コントロール) を参照してください。