サービスマネージドスタンダード： AWS Control Tower

このセクションでは、サービスマネージドスタンダードについて説明します。 AWS Control Tower.

サービスマネージドスタンダードとは AWS Control Tower?

この標準は、 のユーザー向けに設計されています。 AWS Security Hub と AWS Control Tower。 これにより、 のプロアクティブコントロールを設定できます。 AWS Control Tower で Security Hub の検出コントロールと並行して AWS Control Tower サービス。

プロアクティブコントロールは、 AWS アカウント ポリシー違反や設定ミスにつながる可能性のあるアクションにフラグを付けるため、コンプライアンスを維持します。検出コントロールは、 内のリソースのコンプライアンス違反 (設定ミスなど) を検出します。 AWS アカウント。 のプロアクティブコントロールと検出コントロールを有効にする AWS 環境では、開発のさまざまな段階でセキュリティ体制を強化できます。

ヒント

サービスマネージド標準は、 の標準とは異なります。 AWS Security Hub が管理します。例えば、サービスマネージドスタンダードの作成および削除は、管理サービスで行う必要があります。詳細については、「Security Hub のサービスマネージド標準」を参照してください。

Security Hub コンソールと ではAPI、サービスマネージドスタンダードを表示できます。 AWS Control Tower を他の Security Hub 標準と一緒に使用します。

標準の作成

この標準は、 で標準を作成する場合にのみ使用できます。 AWS Control Tower. AWS Control Tower は、次のいずれかの方法を使用して、該当するコントロールを最初に有効にするときに標準を作成します。

• AWS Control Tower コンソール

• AWS Control Tower API ( EnableControl を呼び出すAPI）

• AWS CLI ( enable-control コマンドを実行する）

Security Hub コントロールは、 で識別されます。 AWS Control Tower SH としての コンソール。ControlID (SH..1 など）CodeBuild。

標準を作成するときに、Security Hub をまだ有効にしていない場合は、 AWS Control Tower は Security Hub も有効にします。

をセットアップしていない場合 AWS Control Tower、Security Hub コンソール、Security Hub 、または でこの標準を表示APIまたはアクセスすることはできません。 AWS CLI。 をセットアップした場合でも AWS Control Towerでは、最初に で標準を作成しないと、Security Hub でこの標準を表示またはアクセスすることはできません。 AWS Control Tower は、前述の方法のいずれかを使用します。

この標準は、 でのみ使用できます。 AWS リージョン この場合、次のようになります。 AWS Control Tower は、以下を含む で利用できます。 AWS GovCloud (US).

標準のコントロールの有効化と無効化

で標準を作成した後 AWS Control Tower コンソールでは、両方のサービスで標準とその使用可能なコントロールを表示できます。

最初に標準を作成すると、これに自動的に有効化されたコントロールはありません。さらに、Security Hub が新しいコントロールを追加すると、サービスマネージドスタンダードでそれらが自動的に有効になることはありません。 AWS Control Tower。 で標準のコントロールを有効または無効にする必要があります AWS Control Tower 次のいずれかの方法を使用します。

• AWS Control Tower コンソール

• AWS Control Tower API ( EnableControlと DisableControl を呼び出すAPIs）

• AWS CLI ( enable-controlおよび disable-control コマンドを実行します）

でコントロールの有効化ステータスを変更する場合 AWS Control Tower、変更は Security Hub にも反映されます。

ただし、 で有効になっている Security Hub のコントロールを無効にする AWS Control Tower コントロールドリフトが発生します。のコントロールステータス AWS Control Tower は として表示されますDrifted。このドリフトは、 で OU の再登録 を選択することで解決できます。 AWS Control Tower コンソール、または でコントロールを無効化および再有効化する AWS Control Tower は、前述の方法のいずれかを使用します。

での有効化アクションと無効化アクションの完了 AWS Control Tower は、制御ドリフトを回避するのに役立ちます。

でコントロールを有効または無効にする場合 AWS Control Tower、アクションはアカウントとリージョン全体に適用されます。Security Hub でコントロールを有効または無効にした場合 (標準では推奨されません)、アクションは現在のアカウントとリージョンにのみ適用されます。

注記

中央設定は、サービスマネージドスタンダードの管理には使用できません。 AWS Control Tower。 中央設定を使用する場合、 のみを使用できます。 AWS Control Tower この標準で一元管理されたアカウントのコントロールを有効または無効にする サービス。

有効化ステータスとコントロールステータスの表示

次のいずれかの方法を使用して、コントロールの有効化ステータスを表示できます。

• Security Hub コンソール、Security Hub API、または AWS CLI

• AWS Control Tower コンソール

• AWS Control Tower API 有効になっているコントロールのリストを表示するには ( ListEnabledControls を呼び出しますAPI）

• AWS CLI 有効になっているコントロールのリストを表示するには ( list-enabled-controls コマンドを実行）

で無効にするコントロール AWS Control Tower Security Hub Disabledでそのコントロールを明示的に有効にしない限り、Security Hub の有効化ステータスは です。

Security Hub は、ワークフローステータスおよびコントロール検出結果のコンプライアンスステータスに基づき、コントロールステータスを計算します。有効化ステータスとコントロールステータスの詳細については、「コントロールの詳細の表示」 を参照してください。

コントロールのステータスに基づいて、Security Hub はサービスマネージドスタンダードのセキュリティスコアを計算します。 AWS Control Tower。 このスコアは Security Hub でのみ使用できます。また、Security Hub で表示できるのは統制結果のみです。標準のセキュリティスコアとコントロールの検出結果は、 では使用できません。 AWS Control Tower.

注記

サービスマネージドスタンダードのコントロールを有効にする場合： AWS Control Tower、Security Hub は、既存の を使用するコントロールの検出結果を生成するまでに最大 18 時間かかる場合があります。 AWS Config サービスにリンクされたルール。Security Hub で他の標準やコントロールを有効にしている場合、既存のサービスリンクルールが存在する可能性があります。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

標準を削除する

この標準は で削除できます。 AWS Control Tower 次のいずれかの方法を使用して、該当するすべてのコントロールを無効にします。

• AWS Control Tower コンソール

• AWS Control Tower API ( DisableControl を呼び出すAPI）

• AWS CLI ( disable-control コマンドを実行する）

すべてのコントロールを無効にすると、 のすべてのマネージドアカウントと管理対象リージョンの標準が削除されます。 AWS Control Tower。 での標準の削除 AWS Control Tower は Security Hub コンソールの標準ページから削除し、Security Hub APIまたは を使用してアクセスできなくなります。 AWS CLI.

注記

Security Hub で標準のすべてのコントロールを無効にしても、標準が無効化または削除されることはありません。

Security Hub サービスを無効にすると、サービスマネージドスタンダードが削除されます。 AWS Control Tower および有効化したその他の標準。

サービスマネージドスタンダードの検出結果フィールド形式： AWS Control Tower

サービスマネージドスタンダードを作成する場合： AWS Control Tower と でコントロールを有効にすると、Security Hub でコントロールの検出結果を受信し始めます。Security Hub は、AWS セキュリティ検出結果形式 (ASFF） で統制結果をレポートします。これらは、この標準の Amazon リソースネーム (ARN) と ASFFの値ですGeneratorId。

• 標準 ARN – arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

サービスマネージドスタンダードの検出結果の例： AWS Control Tower「Security Hub でのコントロールの検出結果の例」を参照してください。

サービスマネージドスタンダードに適用されるコントロール： AWS Control Tower

サービスマネージドスタンダード： AWS Control Tower は、 の一部であるコントロールのサブセットをサポートします。 AWS Foundational Security Best Practices (FSBP) 標準。次の表からコントロールを選択すると、失敗した結果の修正手順など、そのコントロールに関する情報が表示されます。

次のリストは、サービスマネージドスタンダードで使用可能なコントロールを示しています。 AWS Control Tower。 コントロールのリージョン制限は、FSBP標準のコロラリコントロールのリージョン制限と一致します。このリストは、標準に依存しないセキュリティコントロール を示していますIDs。左 AWS Control Tower コンソール、コントロールIDsは SH 形式です。ControlID (SH..1 など）CodeBuild。Security Hub では、[統合されたコントロールの検出結果] が無効になっている場合、ProductFields.ControlId フィールドに標準ベースのコントロール ID が使用されます。標準ベースのコントロール ID は CT 形式です。ControlId (CT..1 など）CodeBuild。

• [Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

• 〔ACM.1] インポートされた証明書と ACM発行の証明書は、指定された期間後に更新する必要があります

• によって管理される [ACM.2] RSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります

• 〔APIGateway.1] API ゲートウェイRESTと WebSocket API実行のログ記録を有効にする必要があります

• 〔APIGateway.2] API ゲートウェイRESTAPIステージは、バックエンド認証にSSL証明書を使用するように設定する必要があります

• 〔APIGateway.3] API ゲートウェイRESTAPIステージには が必要です AWS X-Ray トレースの有効化

• 〔APIGateway.4] API ゲートウェイはWAFウェブに関連付ける必要があります ACL

• 〔APIGateway.5] API ゲートウェイRESTAPIキャッシュデータは保管時に暗号化する必要があります

• 〔APIGateway.8] API ゲートウェイルートは認証タイプを指定する必要があります

• 〔APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります

• 〔AppSync.5] AWS AppSync GraphQL はAPIキーで認証APIsしないでください

• 〔AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループはELBヘルスチェックを使用する必要があります

• 〔AutoScaling.2] Amazon EC2 Auto Scaling グループは複数のアベイラビリティーゾーンをカバーする必要があります

• 〔AutoScaling.3] Auto Scaling グループの起動設定では、EC2インスタンスメタデータサービスバージョン 2 (IMDSv2) を要求するようにインスタンスを設定する必要があります

• [Autoscaling.5] Auto Scaling グループの起動設定を使用して起動される Amazon EC2インスタンスには、パブリック IP アドレスを指定しないでください

• 〔AutoScaling.6] Auto Scaling グループは、複数のアベイラビリティーゾーンで複数のインスタンスタイプを使用する必要があります

• 〔AutoScaling.9] Amazon EC2 Auto Scaling グループは Amazon EC2起動テンプレートを使用する必要があります

• 〔CloudTrail.1] CloudTrail 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン追跡を有効にして設定する必要があります

• 〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

• 〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

• 〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

• 〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

• 〔CodeBuild.1] CodeBuild Bitbucket ソースリポジトリURLsには機密認証情報を含めないでください

• 〔CodeBuild.2] CodeBuild プロジェクト環境変数にはクリアテキスト認証情報を含めないでください

• 〔CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

• 〔CodeBuild.4] CodeBuild プロジェクト環境にはログ記録が必要です AWS Config uration

• 〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください

• 〔DMS.9] DMSエンドポイントは を使用する必要があります SSL

• [DocumentDB.1] Amazon DocumentDB クラスターは、保管中に暗号化する必要があります

• [DocumentDB.2] Amazon DocumentDB クラスターには、適切なバックアップ保持期間が必要です

• [DocumentDB.3] Amazon DocumentDB 手動クラスタースナップショットはパブリックにできません

• [DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

• [DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります

• [DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

• 〔EC2.1] Amazon EBSスナップショットはパブリックに復元可能であってはなりません

• 〔EC2.2] VPCデフォルトのセキュリティグループは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないでください

• 〔EC2.3] アタッチされた Amazon EBSボリュームは保管時に暗号化する必要があります

• 〔EC2.4] 停止したEC2インスタンスは、指定された期間後に削除する必要があります

• 〔EC2.6] VPCフローログ記録はすべての で有効にする必要があります VPCs

• 〔EC2.7] EBSデフォルトの暗号化を有効にする必要があります

• 〔EC2.8] EC2インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があります

• 〔EC2.9] Amazon EC2インスタンスにはパブリックIPv4アドレスを指定しないでください

• 〔EC2.10] Amazon EC2 は、Amazon EC2サービス用に作成されたVPCエンドポイントを使用するように設定する必要があります

• 〔EC2.15] Amazon EC2サブネットはパブリック IP アドレスを自動的に割り当てないでください

• 〔EC2.16] 未使用のネットワークアクセスコントロールリストは削除する必要があります

• 〔EC2.17] Amazon EC2インスタンスは複数の を使用しないでください ENIs

• 〔EC2.18] セキュリティグループは、許可されたポートに対して無制限の受信トラフィックのみを許可する必要があります

• 〔EC2.19] セキュリティグループは、高リスクのポートへの無制限のアクセスを許可しないでください

• 〔EC2.20] の両方のVPNトンネル AWS Site-to-Site VPN接続が起動している必要があります

• 〔EC2.21] ネットワークACLsは 0.0.0.0/0 からポート 22 またはポート 3389 への入力を許可しないでください

• 〔EC2.22] 未使用の Amazon EC2 セキュリティグループは削除する必要があります

• 〔EC2.23] Amazon EC2 Transit Gateway はVPCアタッチメントリクエストを自動的に受け入れないでください

• 〔EC2.25] Amazon EC2起動テンプレートはネットワークインターフェイスIPsにパブリックを割り当てないでください

• 〔ECR.1] ECRプライベートリポジトリでは、イメージスキャンを設定する必要があります

• 〔ECR.2] ECRプライベートリポジトリにはタグのイミュータビリティを設定する必要があります

• 〔ECR.3] ECR リポジトリには、少なくとも 1 つのライフサイクルポリシーを設定する必要があります

• 〔ECS.1] Amazon ECSタスク定義には、安全なネットワークモードとユーザー定義が必要です。

• 〔ECS.2] ECSサービスには、パブリック IP アドレスを自動的に割り当てないでください

• 〔ECS.3] ECSタスク定義はホストのプロセス名前空間を共有しないでください

• 〔ECS.4] ECSコンテナは非特権として実行する必要があります

• 〔ECS.5] ECSコンテナは、ルートファイルシステムへの読み取り専用アクセスに制限する必要があります

• 〔ECS.8] シークレットをコンテナ環境変数として渡さないでください

• 〔ECS.10] ECS Fargate サービスは最新の Fargate プラットフォームバージョンで実行する必要があります

• 〔ECS.12] ECSクラスターは Container Insights を使用する必要があります

• 〔EFS.1] Elastic File System は、 を使用して保管中のファイルデータを暗号化するように設定する必要があります AWS KMS

• 〔EFS.2] Amazon EFSボリュームはバックアッププランに含まれている必要があります

• 〔EFS.3] EFS アクセスポイントはルートディレクトリを適用する必要があります

• 〔EFS.4] EFS アクセスポイントはユーザー ID を適用する必要があります

• 〔EKS.1] EKSクラスターエンドポイントはパブリックアクセス可能であってはなりません

• 〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

• 〔ElastiCache.3] ElastiCache (Redis OSS) レプリケーショングループでは、自動フェイルオーバーが有効になっている必要があります

• 〔ElastiCache.4] ElastiCache (Redis OSS) レプリケーショングループは保管時に暗号化する必要があります

• 〔ElastiCache.5] ElastiCache (Redis OSS) レプリケーショングループは転送中に暗号化する必要があります

• 〔ElastiCache.6] ElastiCache (Redis OSS) 以前のバージョンのレプリケーショングループでは、Redis OSSAUTHを有効にする必要があります

• 〔ElasticBeanstalk.1] Elastic Beanstalk 環境では、拡張ヘルスレポートを有効にする必要があります

• 〔ElasticBeanstalk.2] Elastic Beanstalk マネージドプラットフォームの更新を有効にする必要があります

• 〔ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS

• 〔ELB.2] SSL/HTTPS リスナーを持つ Classic Load Balancer は、 が提供する証明書を使用する必要があります AWS Certificate Manager

• 〔ELB.3] Classic Load Balancer リスナーは、 HTTPSまたは TLS終了で設定する必要があります

• 〔ELB.4] Application Load Balancer は http ヘッダーを削除するように設定する必要があります

• 〔ELB.5] Application and Classic Load Balancer のログ記録を有効にする必要があります

• 〔ELB.6] Application、Gateway、Network Load Balancer では、削除保護を有効にする必要があります

• 〔ELB.7] Classic Load Balancer では、Connection Draining を有効にする必要があります

• 〔ELB.8] SSLリスナーを持つ Classic Load Balancer は、強力な を持つ事前定義されたセキュリティポリシーを使用する必要があります AWS Config uration

• 〔ELB.9] Classic Load Balancer では、クロスゾーン負荷分散を有効にする必要があります

• 〔ELB.10] Classic Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります

• 〔ELB.12] Application Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

• 〔ELB.13] Application、Network、Gateway Load Balancer は複数のアベイラビリティーゾーンにまたがる必要があります

• 〔ELB.14] Classic Load Balancer は、防御モードまたは最も厳密な非同期緩和モードで設定する必要があります

• 〔EMR.1] Amazon EMRクラスターのプライマリノードにはパブリック IP アドレスを指定しないでください

• [ES.1] Elasticsearch ドメインは、保管中の暗号化を有効にする必要があります

• [ES.2] Elasticsearch ドメインがパブリックにアクセスできないようにする必要があります

• [ES.3] Elasticsearch ドメインは、ノード間で送信されるデータを暗号化する必要があります

• [ES.4] Logs への Elasticsearch CloudWatch ドメインエラーのログ記録を有効にする必要があります

• [ES.5] Elasticsearch ドメインで監査ログ記録が有効になっている必要があります

• [ES.6] Elasticsearch ドメインには少なくとも 3 つのデータノードが必要です

• [ES.7] Elasticsearch ドメインは、少なくとも 3 つの専用マスターノードを設定する必要があります。

• [ES.8] Elasticsearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

• 〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります

• 〔GuardDuty.1] GuardDuty を有効にする必要があります

• 〔IAM.1] IAMポリシーでは、完全な「*」管理権限を許可しないでください

• 〔IAM.2] IAM ユーザーにはIAMポリシーをアタッチしないでください

• 〔IAM.3] IAMユーザーのアクセスキーは 90 日以内にローテーションする必要があります

• 〔IAM.4] IAMルートユーザーアクセスキーが存在しません

• コンソールパスワードを持つすべてのIAMユーザーに対して [IAM.5] を有効にするMFA必要があります

• 〔IAM.6] ルートユーザーに対してハードウェアを有効にするMFA必要があります

• 〔IAM.7] IAMユーザーのパスワードポリシーには強力な設定が必要です

• 〔IAM.8] 未使用のIAMユーザー認証情報は削除する必要があります

• 作成する [IAM.21] IAMカスタマー管理ポリシーでは、 サービスのワイルドカードアクションを許可しないでください

• [Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります

• 〔KMS.1] IAMカスタマー管理ポリシーでは、すべてのKMSキーで復号アクションを許可しないでください

• 〔KMS.2] IAMプリンシパルには、すべてのKMSキーで復号アクションを許可するIAMインラインポリシーがあってはなりません

• 〔KMS.3] AWS KMS keys 意図せずに削除しないでください

• 〔KMS.4] AWS KMS キーローテーションを有効にする必要があります

• [Lambda.1] Lambda 関数ポリシーでは、パブリックアクセスを禁止する必要があります

• [Lambda.2] Lambda 関数はサポートされているランタイムを使用する必要があります

• [Lambda.3] Lambda 関数は にある必要があります VPC

• [Lambda.5] VPC Lambda 関数は複数のアベイラビリティーゾーンで動作する必要があります

• 〔MSK.1] MSKクラスターは、ブローカーノード間で転送中に暗号化する必要があります

• [MQ.5] ActiveMQ ブローカーはアクティブ/スタンバイデプロイメントモードを使用する必要があります

• [MQ.6] RabbitMQ ブローカーはクラスターデプロイメントモードを使用する必要があります。

• [Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

• [Neptune.2] Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

• [Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

• [Neptune.4] Neptune DB クラスターでは、削除保護が有効になっている必要があります

• [Neptune.5] Neptune DB クラスターでは、自動バックアップが有効になっている必要があります

• [Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

• [Neptune.7] Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります

• [Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

• 〔NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります

• 〔NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットに対してドロップまたは転送する必要があります

• 〔NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットに対してドロップまたは転送する必要があります

• 〔NetworkFirewall.6] ステートレス Network Firewall ルールグループは空にしないでください

• [Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります

• [Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません

• [Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります

• [Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります

• [Opensearch.5] OpenSearch ドメインでは、監査ログ記録が有効になっている必要があります

• [Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です

• [Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります

• [Opensearch.8] OpenSearch ドメインへの接続は、最新のTLSセキュリティポリシーを使用して暗号化する必要があります

• 〔RDS.1] RDSスナップショットはプライベートである必要があります

• 〔RDS.2] RDS DB インスタンスは、 によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config uration

• 〔RDS.3] RDS DB インスタンスでは、保管時の暗号化を有効にする必要があります

• 〔RDS.4] RDSクラスタースナップショットとデータベーススナップショットは、保管時に暗号化する必要があります

• 〔RDS.5] RDS DB インスタンスは複数のアベイラビリティーゾーンで設定する必要があります

• 〔RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります

• 〔RDS.8] RDS DB インスタンスでは、削除保護を有効にする必要があります

• 〔RDS.9] RDS DB インスタンスはログを CloudWatch ログに発行する必要があります

• RDS インスタンスには [RDS.10] IAM認証を設定する必要があります

• 〔RDS.11] RDSインスタンスでは、自動バックアップを有効にする必要があります

• RDS クラスターには [RDS.12] IAM認証を設定する必要があります

• 〔RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります

• 〔RDS.15] RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります

• 〔RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります

• 〔RDS.18] RDSインスタンスは にデプロイする必要があります VPC

• 〔RDS.19] 既存のRDSイベント通知サブスクリプションは、重要なクラスターイベント用に設定する必要があります

• 〔RDS.20] 重要なデータベースインスタンスRDSイベントには、既存のイベント通知サブスクリプションを設定する必要があります

• 〔RDS.21] 重要なデータベースパラメータグループRDSイベントにはイベント通知サブスクリプションを設定する必要があります

• 〔RDS.22] 重要なデータベースセキュリティグループRDSイベントに対してイベント通知サブスクリプションを設定する必要があります

• 〔RDS.23] RDSインスタンスはデータベースエンジンのデフォルトポートを使用しないでください

• 〔RDS.25] RDS データベースインスタンスはカスタム管理者ユーザー名を使用する必要があります

• 〔RDS.27] RDS DB クラスターは保管時に暗号化する必要があります

• [PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります

• [Redshift.2] Amazon Redshift クラスターへの接続は転送中に暗号化する必要があります

• [Redshift.4] Amazon Redshift クラスターでは、監査ログ記録が有効になっている必要があります

• [Redshift.6] Amazon Redshift でメジャーバージョンへの自動アップグレードが有効になっている必要があります

• [Redshift.7] Redshift クラスターは拡張VPCルーティングを使用する必要があります

• [Redshift.8] Amazon Redshift クラスターはデフォルトの管理者ユーザーネームを使用しないでください

• [Redshift.9] Redshift クラスターでは、デフォルトのデータベース名を使用しないでください

• [Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

• [S3.1] S3 汎用バケットでは、パブリックアクセスブロック設定を有効にする必要があります

• [S3.2] S3 汎用バケットはパブリック読み取りアクセスをブロックする必要があります

• [S3.3] S3 汎用バケットはパブリック書き込みアクセスをブロックする必要があります

• [S3.5] S3 汎用バケットでは、 の使用をリクエストする必要があります SSL

• [S3.6] S3 汎用バケットポリシーでは、他の へのアクセスを制限する必要があります AWS アカウント

• [S3.8] S3 汎用バケットはパブリックアクセスをブロックする必要があります

• [S3.9] S3 汎用バケットでは、サーバーアクセスのログ記録を有効にする必要があります

• [S3.12] ACLs は、S3 汎用バケットへのユーザーアクセスを管理するために使用しないでください

• [S3.13] S3 汎用バケットにはライフサイクル設定が必要です

• [S3.17] S3 汎用バケットは保管時に で暗号化する必要があります AWS KMS keys

• 〔SageMaker.1] Amazon SageMaker Notebook インスタンスは、インターネットに直接アクセスできません

• 〔SageMaker.2] SageMaker ノートブックインスタンスはカスタムで起動する必要があります VPC

• 〔SageMaker.3] SageMaker ユーザーはノートブックインスタンスへのルートアクセスを許可されない

• 〔SecretsManager.1] Secrets Manager シークレットでは、自動ローテーションを有効にする必要があります

• 〔SecretsManager.2] 自動ローテーションで設定された Secrets Manager シークレットは正常にローテーションする必要があります

• 〔SecretsManager.3] 未使用の Secrets Manager シークレットを削除する

• 〔SecretsManager.4] Secrets Manager のシークレットは、指定された日数内にローテーションする必要があります

• 〔SQS.1] Amazon SQSキューは保管時に暗号化する必要があります

• 〔SSM.1] Amazon EC2インスタンスは によって管理する必要があります AWS Systems Manager

• 〔SSM.2] Systems Manager によって管理される Amazon EC2インスタンスは、パッチのインストールCOMPLIANT後にパッチコンプライアンスステータスが になっている必要があります

• 〔SSM.3] Systems Manager によって管理される Amazon EC2インスタンスの関連付けコンプライアンスステータスは である必要があります COMPLIANT

• 〔SSM.4] SSMドキュメントは公開しないでください

• 〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です

• 〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です

• 〔WAF.4] AWS WAF Classic リージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

• 〔WAF0.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です

この標準の詳細については、「」の「Security Hub コントロール」を参照してください。 AWS Control Tower ユーザーガイド 。