PCI DSS 4.0 운영 모범 사례(글로벌 리소스 유형 제외) - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

PCI DSS 4.0 운영 모범 사례(글로벌 리소스 유형 제외)

적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 수정 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.

다음은 Payment Card Industry Data Security Standard(PCI DSS) 4.0(글로벌 리소스 유형 제외)과 AWS 관리형 Config 규칙 간의 샘플 매핑을 제공합니다. 각 AWS Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 PCI DSS 제어와 관련이 있습니다. PCI DSS 제어는 여러 Config 규칙과 관련이 있을 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.

제어 ID 제어 설명 AWS 구성 규칙 지침
1.2.5 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

transfer-family-server-no-ftp

AWS Transfer Family로 생성된 서버가 엔드포인트 연결FTP에 를 사용하지 않는지 확인합니다. 엔드포인트 연결을 위한 서버 프로토콜이 FTP활성화되어 있는 경우 규칙은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

eks-endpoint-no-public-액세스

Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 엔드포인트에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

restricted-ssh

참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 다릅니다. 보안 그룹의 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 규칙은 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한되는 COMPLIANT 경우입니다(CIDR0.0.0.0/0 또는 ::/0 제외). 그렇지 않으면 NON_COMPLIANT.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

codebuild-project-source-repo-URL 확인

Bitbucket 소스 리포지토리에 로그인 보안 인증 정보가 URL DOES NOT 포함되어 있는지 확인합니다. 에 로그인 정보가 URL 포함되어 있고 포함되어 있지 않은 COMPLIANT 경우 규칙은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

네트워크 액세스 제어 목록(NACLs)의 SSH/RDP 수신 트래픽에 대한 기본 포트가 제한되어 있는지 확인합니다. NACL 인바운드 항목이 포트 22 TCP 또는 3389에 대한 소스 또는 UDP CIDR 블록을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-모두

AWS 클라이언트 VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. ''가 있고 true로 설정된 경우 규칙AccessAll은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
1.2.8 네트워크 보안 제어(NSCs)가 구성되고 유지 관리됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-활성화

Amazon Redshift 클러스터에 'enhancedVpcRouting'가 활성화되어 있는지 확인합니다. ''enhancedVpcRouting가 활성화되지 않았거나 configuration.enhancedVpcRouting field가 'false'인 경우 규칙은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

eks-endpoint-no-public-액세스

Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 엔드포인트에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

restricted-ssh

참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 다릅니다. 보안 그룹의 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 규칙은 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한되는 COMPLIANT 경우입니다(CIDR0.0.0.0/0 또는 ::/0 제외). 그렇지 않으면 NON_COMPLIANT.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

codebuild-project-source-repo-URL 확인

Bitbucket 소스 리포지토리에 로그인 보안 인증 정보가 URL DOES NOT 포함되어 있는지 확인합니다. 에 로그인 정보가 URL 포함되어 있고 포함되어 있지 않은 COMPLIANT 경우 규칙은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

네트워크 액세스 제어 목록(NACLs)의 SSH/RDP 수신 트래픽에 대한 기본 포트가 제한되어 있는지 확인합니다. NACL 인바운드 항목이 포트 22 TCP 또는 3389에 대한 소스 또는 UDP CIDR 블록을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-모두

AWS 클라이언트 VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. ''가 있고 true로 설정된 경우 규칙AccessAll은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
1.3.1 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-활성화

Amazon Redshift 클러스터에 'enhancedVpcRouting'가 활성화되어 있는지 확인합니다. ''enhancedVpcRouting가 활성화되지 않았거나 configuration.enhancedVpcRouting field가 'false'인 경우 규칙은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

eks-endpoint-no-public-액세스

Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 엔드포인트에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

restricted-ssh

참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 다릅니다. 보안 그룹의 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 규칙은 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한되는 COMPLIANT 경우입니다(CIDR0.0.0.0/0 또는 ::/0 제외). 그렇지 않으면 NON_COMPLIANT.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

codebuild-project-source-repo-URL 확인

Bitbucket 소스 리포지토리에 로그인 보안 인증 정보가 URL DOES NOT 포함되어 있는지 확인합니다. 에 로그인 정보가 URL 포함되어 있고 포함되어 있지 않은 COMPLIANT 경우 규칙은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

네트워크 액세스 제어 목록(NACLs)의 SSH/RDP 수신 트래픽에 대한 기본 포트가 제한되어 있는지 확인합니다. NACL 인바운드 항목이 포트 22 TCP 또는 3389에 대한 소스 또는 UDP CIDR 블록을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-모두

AWS 클라이언트 VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. ''가 있고 true로 설정된 경우 규칙AccessAll은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
1.3.2 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
1.4.1 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.4.1 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-활성화

Amazon Redshift 클러스터에 'enhancedVpcRouting'가 활성화되어 있는지 확인합니다. ''enhancedVpcRouting가 활성화되지 않았거나 configuration.enhancedVpcRouting field가 'false'인 경우 규칙은 NON_COMPLIANT입니다.
1.4.1 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

Amazon CloudFront 배포와 연결된 인증서가 기본 SSL 인증서가 아닌지 확인합니다. CloudFront 배포에서 기본 SSL 인증서를 사용하는 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-활성화

Amazon Redshift 클러스터에 'enhancedVpcRouting'가 활성화되어 있는지 확인합니다. ''enhancedVpcRouting가 활성화되지 않았거나 configuration.enhancedVpcRouting field가 'false'인 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

eks-endpoint-no-public-액세스

Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 엔드포인트에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

restricted-ssh

참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 다릅니다. 보안 그룹의 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 규칙은 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한되는 COMPLIANT 경우입니다(CIDR0.0.0.0/0 또는 ::/0 제외). 그렇지 않으면 NON_COMPLIANT.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

codebuild-project-source-repo-URL 확인

Bitbucket 소스 리포지토리에 로그인 보안 인증 정보가 URL DOES NOT 포함되어 있는지 확인합니다. 에 로그인 정보가 URL 포함되어 있고 포함되어 있지 않은 COMPLIANT 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

네트워크 액세스 제어 목록(NACLs)의 SSH/RDP 수신 트래픽에 대한 기본 포트가 제한되어 있는지 확인합니다. NACL 인바운드 항목이 포트 22 TCP 또는 3389에 대한 소스 또는 UDP CIDR 블록을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-모두

AWS 클라이언트 VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'가 있고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
1.4.2 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
1.4.3 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.4.3 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.4.3 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-전체-패킷

AWS 네트워크 방화벽 정책이 전체 패킷에 대해 사용자 정의 기본 상태 비저장 작업으로 구성되어 있는지 확인합니다. 전체 패킷에 대한 기본 상태 비저장 작업이 사용자 정의 기본 상태 비저장 작업과 일치하지 않는 경우 이 규칙은 NON_COMPLIANT입니다.
1.4.4 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.4.4 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

redshift-enhanced-vpc-routing-활성화

Amazon Redshift 클러스터에 'enhancedVpcRouting'가 활성화되어 있는지 확인합니다. ''enhancedVpcRouting가 활성화되지 않았거나 configuration.enhancedVpcRouting field가 'false'인 경우 규칙은 NON_COMPLIANT입니다.
1.4.4 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.4.5 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

ecs-task-definition-pid-모드-확인

ECSTaskDefinitions 가 Amazon Elastic Container Service(AmazonECS) 컨테이너와 호스트의 프로세스 네임스페이스를 공유하도록 구성되어 있는지 확인합니다. pidMode 파라미터가 'host'로 설정된 경우 규칙은 NON_COMPLIANT입니다.
1.4.5 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. (PCI-DSS-v4.0)

ec2-launch-template-public-ip-비활성화됨

Amazon EC2 시작 템플릿이 네트워크 인터페이스에 퍼블릭 IP 주소를 할당하도록 설정되어 있지 않은지 확인합니다. EC2 시작 템플릿의 기본 버전에 ''이 'trueAssociatePublicIpAddress'로 설정된 네트워크 인터페이스가 1개 이상 있는 경우 규칙은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

eks-endpoint-no-public-액세스

Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 엔드포인트에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

restricted-ssh

참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 다릅니다. 보안 그룹의 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 규칙은 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한되는 COMPLIANT 경우입니다(CIDR0.0.0.0/0 또는 ::/0 제외). 그렇지 않으면 NON_COMPLIANT.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

codebuild-project-source-repo-URL 확인

Bitbucket 소스 리포지토리에 로그인 보안 인증 정보가 URL DOES NOT 포함되어 있는지 확인합니다. 에 로그인 정보가 URL 포함되어 있고 포함되어 있지 않은 COMPLIANT 경우 규칙은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 가 false인 경우 규칙은 NON_COMPLIANT BlockPublicSecurityGroupRules 이고, true인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

네트워크 액세스 제어 목록(NACLs)의 SSH/RDP 수신 트래픽에 대한 기본 포트가 제한되어 있는지 확인합니다. NACL 인바운드 항목이 포트 22 TCP 또는 3389에 대한 소스 또는 UDP CIDR 블록을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-모두

AWS 클라이언트 VPN 인증 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. ''가 있고 true로 설정된 경우 규칙AccessAll은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
1.5.1 신뢰할 수 없는 네트워크와 에 모두 연결할 수 있는 컴퓨팅 디바이스CDE로 인한 위험은 완화CDE됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.1 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.3 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.4 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.5 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.6 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.1.7 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.2.2 감사 로그는 이상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.3.1 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS 네트워크 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 이 규칙은 다음 사항을 모두 충족하는 추적이 하나 이상 있는 COMPLIANT 경우 적용됩니다.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

neptune-cluster-snapshot-public-금지됨

Amazon Neptune 수동 DB 클러스터 스냅샷이 공개되지 않았는지 확인합니다. 기존 및 새 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:PutBackupVaultAccessPolicy 권한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
10.3.2 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

aurora-resources-protected-by-backup-plan

Amazon Aurora DB 클러스터가 백업 계획으로 보호되는지 확인합니다. Amazon Relational Database Service(AmazonRDS) 데이터베이스 클러스터가 백업 계획으로 보호되지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

db-instance-backup-enabled

RDS DB 인스턴스에 백업이 활성화되어 있는지 확인합니다. 이 규칙은 필요에 따라 백업 보존 기간과 백업 기간을 확인합니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

dynamodb-in-backup-plan

Amazon DynamoDB 테이블이 AWS 백업 계획에 있는지 확인합니다. Amazon DynamoDB 테이블이 AWS 백업 계획에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

dynamodb-resources-protected-by-backup-plan

Amazon DynamoDB 테이블이 백업 계획으로 보호되는지 확인합니다. DynamoDB 테이블이 백업 계획에서 다루지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

ebs-in-backup-plan

AWS 백업의 백업 계획에 Amazon Elastic Block Store(Amazon EBS) 볼륨이 추가되었는지 확인합니다. Amazon EBS 볼륨이 백업 계획에 포함되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

ebs-resources-protected-by-backup-plan

Amazon Elastic Block Store(Amazon EBS) 볼륨이 백업 계획으로 보호되는지 확인합니다. Amazon EBS 볼륨이 백업 계획에 포함되지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

ec2-resources-protected-by-backup-계획

Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스가 백업 계획으로 보호되는지 확인합니다. Amazon EC2 인스턴스가 백업 계획에 포함되지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

efs-resources-protected-by-backup-plan

Amazon Elastic File System(Amazon EFS) 파일 시스템이 백업 계획으로 보호되는지 확인합니다. EFS 파일 시스템이 백업 계획의 적용을 받지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

elasticache-redis-cluster-automatic-백업 확인

Amazon ElastiCache Redis 클러스터에 자동 백업이 켜져 있는지 확인합니다. Redis 클러스터 SnapshotRetentionLimit 용 가 SnapshotRetentionPeriod 파라미터보다 작은 경우 규칙은 NON_COMPLIANT입니다. 예: 파라미터가 15인 경우 가 0~15인 경우 규칙 snapshotRetentionPeriod 은 규정을 준수하지 않습니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

fsx-resources-protected-by-backup-plan

Amazon FSx File Systems가 백업 계획으로 보호되는지 확인합니다. Amazon FSx File System이 백업 계획의 적용을 받지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

neptune-cluster-backup-retention-확인

Amazon Neptune DB 클러스터 보존 기간이 특정 일수로 설정되어 있는지 확인합니다. 보존 기간이 파라미터에서 지정한 값보다 작으면 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

rds-in-backup-plan

Amazon Relational Database Service(Amazon RDS) 데이터베이스가 AWS 백업 계획에 있는지 확인합니다. Amazon RDS 데이터베이스가 AWS 백업 계획에 포함되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

redshift-backup-enabled

클러스터에 Amazon Redshift 자동 스냅샷이 활성화되어 있는지 확인합니다. automatedSnapshotRetention기간의 값이 보다 크 MaxRetentionPeriod 거나 작 MinRetentionPeriod 거나 값이 0인 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

s3-resources-protected-by-backup-계획

Amazon Simple Storage Service(Amazon S3) 버킷이 백업 계획으로 보호되는지 확인합니다. Amazon S3 버킷이 백업 계획에 포함되지 않는 경우 규칙은 NON_COMPLIANT입니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 이 규칙은 다음 사항을 모두 충족하는 추적이 하나 이상 있는 COMPLIANT 경우 적용됩니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

db-instance-backup-enabled

RDS DB 인스턴스에 백업이 활성화되어 있는지 확인합니다. 이 규칙은 필요에 따라 백업 보존 기간과 백업 기간을 확인합니다.
10.3.3 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 이 활성화PITR되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.4 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

s3- bucket-default-lock-enabled

기본적으로 S3 버킷에 잠금이 활성화되어 있는지 확인합니다. 잠금이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.3.4 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

s3- bucket-versioning-enabled

S3 버킷에 버전 관리가 활성화되어 있는지 확인합니다. 선택적으로 규칙은 S3 버킷에 대해 MFA 삭제가 활성화되어 있는지 확인합니다.
10.3.4 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 이 규칙은 다음 사항을 모두 충족하는 추적이 하나 이상 있는 COMPLIANT 경우 적용됩니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.4.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.4.1.1 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.4.2 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.4.3 감사 로그를 검토하여 이상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.5.1 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 이 규칙은 다음 사항을 모두 충족하는 추적이 하나 이상 있는 COMPLIANT 경우 적용됩니다.
10.5.1 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0)

ec2- volume-inuse-check

EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 선택적으로 인스턴스가 종료될 때 EBS 볼륨이 삭제 대상으로 표시되었는지 확인합니다.
10.5.1 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0)

ecr-private-lifecycle-policy-구성됨

프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대한 수명 주기 정책이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.5.1 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 이 활성화PITR되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.5.1 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 또는 지정된 보존 기간 이상으로 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고 그렇지 않으면 365일입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
10.6.3 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.7.1 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
10.7.2 중요한 보안 제어 시스템의 장애는 즉시 감지, 보고 및 대응됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
11.5.2 네트워크 침입 및 예기치 않은 파일 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
11.5.2 네트워크 침입 및 예기치 않은 파일 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
11.5.2 네트워크 침입 및 예기치 않은 파일 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

지정된 지표 이름의 CloudWatch 경보에 지정된 설정이 있는지 확인합니다.
11.5.2 네트워크 침입 및 예기치 않은 파일 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
11.6.1 결제 페이지의 무단 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
11.6.1 결제 페이지의 무단 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
11.6.1 결제 페이지의 무단 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

지정된 지표 이름의 CloudWatch 경보에 지정된 설정이 있는지 확인합니다.
11.6.1 결제 페이지의 무단 변경 사항이 감지되고 응답됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
12.10.5 에 영향을 미칠 수 있는 의심되고 확인된 보안 인시던트CDE는 즉시 에 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
12.10.5 에 영향을 미칠 수 있는 의심되고 확인된 보안 인시던트CDE는 즉시 에 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
12.10.5 에 영향을 미칠 수 있는 의심되고 확인된 보안 인시던트CDE는 즉시 에 응답됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

지정된 지표 이름의 CloudWatch 경보에 지정된 설정이 있는지 확인합니다.
12.10.5 에 영향을 미칠 수 있는 의심되고 확인된 보안 인시던트CDE는 즉시 에 응답됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
12.4.2.1 PCI DSS 규정 준수는 관리됩니다. (PCI-DSS-v4.0)

service-catalog-shared-within-조직

AWS Organizations와의 통합이 활성화될 때 AWS Service Catalog가 조직(단일 단위로 취급되는 AWS 계정 모음)과 포트폴리오를 공유하는지 확인합니다. 공유의 `Type` 값이 `ACCOUNT`인 경우 규칙은 NON_COMPLIANT입니다.
2.2.5 시스템 구성 요소는 안전하게 구성되고 관리됩니다. (PCI-DSS-v4.0)

transfer-family-server-no-ftp

AWS Transfer Family로 생성된 서버가 엔드포인트 연결FTP에 를 사용하지 않는지 확인합니다. 엔드포인트 연결을 위한 서버 프로토콜이 FTP활성화되어 있는 경우 규칙은 NON_COMPLIANT입니다.
2.2.7 시스템 구성 요소는 안전하게 구성되고 관리됩니다. (PCI-DSS-v4.0)

dms-redis-tls-enabled

Redis 데이터 스토어의 AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 대해 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
2.2.7 시스템 구성 요소는 안전하게 구성되고 관리됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
2.2.7 시스템 구성 요소는 안전하게 구성되고 관리됩니다. (PCI-DSS-v4.0)

msk-in-cluster-node-require-tls

Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS (TLS)를 사용하여 전송 중 암호화를 적용해야 합니다. 클러스터 내 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다.
2.2.7 시스템 구성 요소는 안전하게 구성되고 관리됩니다. (PCI-DSS-v4.0)

dms-endpoint-ssl-configured

AWS Database Migration Service(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. 에 SSL 연결이 구성되지 않은 경우 AWS DMS 규칙은 NON_COMPLIANT입니다.
3.2.1 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0)

ec2- volume-inuse-check

EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 선택적으로 인스턴스가 종료될 때 EBS 볼륨이 삭제 대상으로 표시되었는지 확인합니다.
3.2.1 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0)

ecr-private-lifecycle-policy-구성됨

프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대한 수명 주기 정책이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.2.1 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 이 활성화PITR되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.2.1 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 확인합니다. 그렇지 않으면 지정된 보존 기간이 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고, 그렇지 않으면 365일입니다.
3.3.1.1 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ec2- volume-inuse-check

EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 선택적으로 인스턴스가 종료될 때 EBS 볼륨이 삭제 대상으로 표시되었는지 확인합니다.
3.3.1.1 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ecr-private-lifecycle-policy-구성됨

프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대한 수명 주기 정책이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.1.1 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 이 활성화PITR되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.1.1 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 또는 지정된 보존 기간 이상으로 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고 그렇지 않으면 365일입니다.
3.3.1.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ec2- volume-inuse-check

EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 선택적으로 인스턴스가 종료될 때 EBS 볼륨이 삭제 대상으로 표시되었는지 확인합니다.
3.3.1.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ecr-private-lifecycle-policy-구성됨

프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대한 수명 주기 정책이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.1.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 PITR가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.1.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 또는 지정된 보존 기간 이상으로 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고 그렇지 않으면 365일입니다.
3.3.2 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ec2- volume-inuse-check

EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 선택적으로 인스턴스가 종료될 때 EBS 볼륨이 삭제 대상으로 표시되었는지 확인합니다.
3.3.2 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ecr-private-lifecycle-policy-구성됨

프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대한 수명 주기 정책이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.2 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 PITR가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.2 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 또는 지정된 보존 기간 이상으로 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고 그렇지 않으면 365일입니다.
3.3.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ec2- volume-inuse-check

EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 선택적으로 인스턴스가 종료될 때 EBS 볼륨이 삭제 대상으로 표시되었는지 확인합니다.
3.3.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

ecr-private-lifecycle-policy-구성됨

프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대한 수명 주기 정책이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

dynamodb-pitr-enabled

Amazon DynamoDB 테이블에 대해 복구(PITR)가 활성화되어 있는지 point-in-time 확인합니다. DynamoDB 테이블에 대해 PITR가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.3.3 인증 후에는 민감한 인증 데이터(SAD)가 저장되지 않습니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 또는 지정된 보존 기간 이상으로 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고 그렇지 않으면 365일입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

athena-workgroup-encrypted-at-휴식

Amazon Athena 작업 그룹이 저장 시 암호화되어 있는지 확인합니다. Athena 작업 그룹에 대해 저장 데이터 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

neptune-cluster-snapshot-encrypted

Amazon Neptune DB 클러스터에 암호화된 스냅샷이 있는지 확인합니다. Neptune 클러스터에 암호화된 스냅샷이 없는 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

redshift-cluster-kms-enabled

Amazon Redshift 클러스터가 암호화에 지정된 AWS Key Management Service(AWS KMS) 키를 사용하고 있는지 확인합니다. 암호화가 활성화되고 클러스터가 kmsKeyArn 파라미터에 제공된 키로 암호화되는 COMPLIANT 경우 규칙이 적용됩니다. 클러스터가 암호화되지 않았거나 다른 키로 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

codebuild-project-s3-logs-encrypted

Amazon S3 Logs로 구성된 AWS CodeBuild 프로젝트에 해당 로그에 대해 암호화가 활성화되어 있는지 확인합니다. CodeBuild 프로젝트의 S3LogsConfig 에서 'encryptionDisabled'이 'true'로 설정된 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

eks-secrets-encrypted

Amazon Elastic Kubernetes Service 클러스터가 AWS 키 관리 서비스(KMS) 키를 사용하여 암호화된 Kubernetes 보안 암호를 갖도록 구성되어 있는지 확인합니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

api-gw-cache-enabled-및 암호화

Amazon API Gateway 단계의 모든 메서드에 캐시가 활성화되어 있고 캐시가 암호화되어 있는지 확인합니다. Amazon API Gateway 단계의 메서드가 캐시하도록 구성되지 않았거나 캐시가 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블이 AWS Key Management Service()로 암호화되어 있는지 확인합니다KMS. Amazon DynamoDB 테이블이 로 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다 AWS KMS. 암호화된 AWS KMS 키가 kmsKeyArns 입력 파라미터에 없는 경우에도 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

codebuild-project-envvar-awscred-체크

프로젝트에 환경 변수 AWS_ACCESS__KEYID 및 AWS_SECRET_ACCESS_가 DOES NOT 포함되어 있는지 확인합니다KEY. 프로젝트 환경 변수에 일반 텍스트 자격 증명이 포함된 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

eks-cluster-secrets-encrypted

를 사용하여 Kubernetes 보안 암호를 암호화하도록 Amazon EKS 클러스터가 구성되지 않았는지 확인합니다 AWS KMS. EKS 클러스터에 encryptionConfig 리소스가 없거나 가 보안 암호를 리소스로 지정 encryptionConfig 하지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

kinesis-stream-encrypted

Amazon Kinesis 스트림이 서버 측 암호화로 저장 시 암호화되어 있는지 확인합니다. 'StreamEncryption'가 없는 경우 Kinesis 스트림의 규칙은 NON_COMPLIANT입니다.
3.5.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

neptune-cluster-encrypted

Amazon Neptune DB 클러스터에 대해 스토리지 암호화가 활성화되어 있는지 확인합니다. 스토리지 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.5.1.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.5.1.1 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

neptune-cluster-snapshot-public-금지됨

Amazon Neptune 수동 DB 클러스터 스냅샷이 공개되지 않았는지 확인합니다. 기존 및 새 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:PutBackupVaultAccessPolicy 권한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
3.5.1.3 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
3.6.1 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.6.1 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.6.1.2 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.6.1.2 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.6.1.3 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.6.1.3 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.6.1.4 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.6.1.4 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.7.1 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

acm-certificate-rsa-check

AWS Certificate Manager(ACM)에서 관리하는 RSA 인증서의 키 길이가 '2048'비트 이상인지 확인합니다. 최소 키 길이가 2048비트 미만인 경우 규칙은 NON_COMPLIANT입니다.
3.7.1 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.7.1 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.7.2 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.7.2 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.7.4 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.7.4 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.7.6 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.7.6 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
3.7.7 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
3.7.7 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
4.2.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

dms-redis-tls-enabled

Redis 데이터 스토어의 AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 대해 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
4.2.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
4.2.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

msk-in-cluster-node-require-tls

Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS (TLS)를 사용하여 전송 중 암호화를 적용해야 합니다. 클러스터 내 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다.
4.2.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

dms-endpoint-ssl-configured

AWS Database Migration Service(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. 에 SSL 연결이 구성되지 않은 경우 AWS DMS 규칙은 NON_COMPLIANT입니다.
4.2.1.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

acm-pca-root-ca-비활성화됨

AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 상태가 가 아닌 루트의 경우 규칙은 NON_COMPLIANTCAs입니다DISABLED.
4.2.1.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

cloudfront-custom-ssl-certificate

Amazon CloudFront 배포와 연결된 인증서가 기본 SSL 인증서가 아닌지 확인합니다. CloudFront 배포에서 기본 SSL 인증서를 사용하는 경우 규칙은 NON_COMPLIANT입니다.
4.2.1.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

dms-redis-tls-enabled

Redis 데이터 스토어의 AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 대해 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
4.2.1.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
4.2.1.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

msk-in-cluster-node-require-tls

Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS (TLS)를 사용하여 전송 중 암호화를 적용해야 합니다. 클러스터 내 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다.
4.2.1.1 PAN 는 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0)

dms-endpoint-ssl-configured

AWS Database Migration Service(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. 에 SSL 연결이 구성되지 않은 경우 AWS DMS 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 이 규칙은 다음 사항을 모두 충족하는 추적이 하나 이상 있는 COMPLIANT 경우 적용됩니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
5.3.4 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0)

cw-loggroup-retention-period-체크

Amazon CloudWatch LogGroup 보존 기간이 365일 이상으로 설정되어 있는지 또는 지정된 보존 기간 이상으로 설정되어 있는지 확인합니다. 보존 기간이 보다 작거나 지정된 MinRetentionTime경우 규칙은 NON_COMPLIANT이고 그렇지 않으면 365일입니다.
6.3.3 보안 취약성을 식별하고 해결합니다. (PCI-DSS-v4.0)

lambda-function-settings-check

런타임, 역할, 제한 시간 및 메모리 크기에 대한 AWS Lambda 함수 설정이 예상 값과 일치하는지 확인합니다. 규칙은 '이미지' 패키지 유형을 사용하는 함수와 런타임을 'OS 전용 런타임'으로 설정한 함수를 무시합니다. Lambda 함수 설정이 예상 값과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
6.3.3 보안 취약성을 식별하고 해결합니다. (PCI-DSS-v4.0)

eks-cluster-oldest-supported-버전

Amazon Elastic Kubernetes Service(EKS) 클러스터가 지원되는 가장 오래된 버전을 실행하지 않는지 확인합니다. EKS 클러스터가 가장 오래된 지원 버전을 실행하는 경우 규칙은 NON_COMPLIANT입니다(파라미터 'oldestVersionSupported'와 동일).
6.4.1 퍼블릭 대면 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
6.4.1 퍼블릭 대면 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0)

wafv2-webacl-not-empty

WAFv2 웹에 WAF 규칙 또는 WAF 규칙 그룹이 ACL 포함되어 있는지 확인합니다. 웹에 규칙 또는 WAF 규칙 그룹이 없는 경우 이 WAF 규칙ACL은 NON_COMPLIANT입니다.
6.4.1 퍼블릭 대면 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-not-empty

WAFv2 규칙 그룹에 규칙이 포함되어 있는지 확인합니다. 규칙 그룹에 규칙이 없는 경우 WAFv2 규칙은 NON_COMPLIANT입니다.
6.4.2 퍼블릭 대면 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
6.4.2 퍼블릭 대면 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0)

wafv2-webacl-not-empty

WAFv2 웹에 WAF 규칙 또는 WAF 규칙 그룹이 ACL 포함되어 있는지 확인합니다. 웹에 규칙 또는 WAF 규칙 그룹이 없는 경우 이 WAF 규칙ACL은 NON_COMPLIANT입니다.
6.4.2 퍼블릭 대면 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-not-empty

WAFv2 규칙 그룹에 규칙이 포함되어 있는지 확인합니다. 규칙 그룹에 규칙이 없는 경우 WAFv2 규칙은 NON_COMPLIANT입니다.
6.5.5 모든 시스템 구성 요소에 대한 변경 사항은 안전하게 관리됩니다. (PCI-DSS-v4.0)

codedeploy-lambda-allatonce-traffic-shift-disabled

Lambda Compute Platform의 배포 그룹이 기본 배포 구성을 사용하지 않는지 확인합니다. 배포 그룹이 배포 구성 'CodeDeployDefault.'을 사용하는 경우 규칙은 NON_COMPLIANT입니다LambdaAllAtOnce.
6.5.6 모든 시스템 구성 요소에 대한 변경 사항은 안전하게 관리됩니다. (PCI-DSS-v4.0)

codedeploy-lambda-allatonce-traffic-shift-disabled

Lambda Compute Platform의 배포 그룹이 기본 배포 구성을 사용하지 않는지 확인합니다. 배포 그룹이 배포 구성 'CodeDeployDefault.'을 사용하는 경우 규칙은 NON_COMPLIANT입니다LambdaAllAtOnce.
7.2.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.2.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.2.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
7.2.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
7.2.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
7.2.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
7.2.2 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.2.2 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.2.2 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
7.2.2 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
7.2.2 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
7.2.2 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
7.2.4 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-unused

AWS Secrets Manager 보안 암호에 지정된 일수 내에 액세스했는지 확인합니다. 'unusedForDays'일 수 동안 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
7.2.5 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.2.5 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.2.5 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자 또는 하나 이상의 IAM 사용자가 있는 그룹 또는 신뢰할 수 있는 엔터티가 하나 이상의 IAM 역할에 연결되어 있는지 확인합니다.
7.2.5 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
7.2.5 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
7.2.5 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:PutBackupVaultAccessPolicy 권한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
7.2.5.1 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-unused

AWS Secrets Manager 보안 암호에 지정된 일수 내에 액세스했는지 확인합니다. 'unusedForDays'일 수 동안 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
7.2.6 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대해 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.2.6 시스템 구성 요소 및 데이터에 대한 액세스가 적절하게 정의되고 할당됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.3.1 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대해 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.3.1 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.3.1 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자 또는 하나 이상의 IAM 사용자가 있는 그룹 또는 신뢰할 수 있는 엔터티가 하나 이상의 IAM 역할에 연결되어 있는지 확인합니다.
7.3.1 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
7.3.1 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
7.3.1 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:PutBackupVaultAccessPolicy 권한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
7.3.2 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대해 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.3.2 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.3.2 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자 또는 하나 이상의 IAM 사용자가 있는 그룹 또는 신뢰할 수 있는 엔터티가 하나 이상의 IAM 역할에 연결되어 있는지 확인합니다.
7.3.2 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
7.3.2 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
7.3.2 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:PutBackupVaultAccessPolicy 권한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
7.3.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대해 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
7.3.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
7.3.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자 또는 하나 이상의 IAM 사용자가 있는 그룹 또는 신뢰할 수 있는 엔터티가 하나 이상의 IAM 역할에 연결되어 있는지 확인합니다.
7.3.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
7.3.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
7.3.3 시스템 구성 요소 및 데이터에 대한 액세스는 액세스 제어 시스템(들)을 통해 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
8.2.1 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.2.1 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2-no-amazon-key-pair

Amazon 키 페어를 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스 실행을 시작하지 않도록 합니다. 실행 중인 EC2 인스턴스가 키 페어로 시작되는 경우 규칙은 NON_COMPLIANT입니다.
8.2.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.2.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2-no-amazon-key-pair

Amazon 키 페어를 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스 실행을 시작하지 않도록 합니다. 실행 중인 EC2 인스턴스가 키 페어로 시작되는 경우 규칙은 NON_COMPLIANT입니다.
8.2.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

codebuild-project-envvar-awscred-체크

프로젝트에 환경 변수 AWS_ACCESS__KEYID 및 AWS_SECRET_ACCESS_가 DOES NOT 포함되어 있는지 확인합니다KEY. 프로젝트 환경 변수에 일반 텍스트 자격 증명이 포함된 경우 규칙은 NON_COMPLIANT입니다.
8.2.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-체크

AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 지나고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.2.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 암호가 maxDaysSince순환 일수를 초과하여 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.2.2 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-unused

AWS Secrets Manager 보안 암호에 지정된 일수 내에 액세스했는지 확인합니다. 'unusedForDays'일 수 동안 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.2.4 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.2.4 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2-no-amazon-key-pair

Amazon 키 페어를 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스 실행을 시작하지 않도록 합니다. 실행 중인 EC2 인스턴스가 키 페어로 시작되는 경우 규칙은 NON_COMPLIANT입니다.
8.2.5 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.2.5 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2-no-amazon-key-pair

Amazon 키 페어를 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스 실행을 시작하지 않도록 합니다. 실행 중인 EC2 인스턴스가 키 페어로 시작되는 경우 규칙은 NON_COMPLIANT입니다.
8.2.6 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-unused

AWS Secrets Manager 보안 암호에 지정된 일수 내에 액세스했는지 확인합니다. 'unusedForDays'일 수 동안 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.2.7 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
8.2.7 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
8.2.7 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.2.7 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.2.7 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
8.2.7 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2-imdsv2-check

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터 버전이 인스턴스 메타데이터 서비스 버전 2()로 구성되어 있는지 확인합니다IMDSv2. 가 선택 사항으로 설정된 경우 규칙 HttpTokens 은 NON_COMPLIANT입니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

autoscaling-launchconfig-requires-imdsv2

만 IMDSv2 활성화되어 있는지 확인합니다. 이 규칙은 메타데이터 버전이 시작 구성에 포함되지 않거나 메타데이터 V1 및 V2가 모두 활성화된 경우 NON_COMPLIANT입니다.
8.2.8 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
8.3.10.1 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

access-keys-rotated

maxAccessKey연령에 지정된 일수 내에 활성 IAM 액세스 키가 교체(변경)되었는지 확인합니다. 액세스 키가 지정된 기간 내에 교체되지 않으면 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.10.1 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-체크

AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 지나고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.10.1 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 암호가 maxDaysSince순환 일수를 초과하여 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.11 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.3.11 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

ec2-no-amazon-key-pair

Amazon 키 페어를 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스 실행을 시작하지 않도록 합니다. 실행 중인 EC2 인스턴스가 키 페어로 시작되는 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

athena-workgroup-encrypted-at-휴식

Amazon Athena 작업 그룹이 저장 시 암호화되어 있는지 확인합니다. Athena 작업 그룹에 대해 저장 데이터 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-snapshot-encrypted

Amazon Neptune DB 클러스터에 암호화된 스냅샷이 있는지 확인합니다. Neptune 클러스터에 암호화된 스냅샷이 없는 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

redshift-cluster-kms-enabled

Amazon Redshift 클러스터가 암호화에 지정된 AWS Key Management Service(AWS KMS) 키를 사용하고 있는지 확인합니다. 암호화가 활성화되고 클러스터가 kmsKeyArn 파라미터에 제공된 키로 암호화되는 COMPLIANT 경우 규칙이 적용됩니다. 클러스터가 암호화되지 않았거나 다른 키로 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

codebuild-project-s3-logs-encrypted

Amazon S3 Logs로 구성된 AWS CodeBuild 프로젝트에 해당 로그에 대해 암호화가 활성화되어 있는지 확인합니다. CodeBuild 프로젝트의 S3LogsConfig 에서 'encryptionDisabled'이 'true'로 설정된 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

dms-redis-tls-enabled

Redis 데이터 스토어의 AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 대해 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

eks-secrets-encrypted

Amazon Elastic Kubernetes Service 클러스터가 AWS 키 관리 서비스(KMS) 키를 사용하여 암호화된 Kubernetes 보안 암호를 갖도록 구성되어 있는지 확인합니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

api-gw-cache-enabled-및 암호화

Amazon API Gateway 단계의 모든 메서드에 캐시가 활성화되어 있고 캐시가 암호화되어 있는지 확인합니다. Amazon API Gateway 단계의 메서드가 캐시하도록 구성되지 않았거나 캐시가 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블이 AWS Key Management Service()로 암호화되어 있는지 확인합니다KMS. Amazon DynamoDB 테이블이 로 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다 AWS KMS. 암호화된 AWS KMS 키가 kmsKeyArns 입력 파라미터에 없는 경우에도 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

codebuild-project-envvar-awscred-체크

프로젝트에 환경 변수 AWS_ACCESS__KEYID 및 AWS_SECRET_ACCESS_가 DOES NOT 포함되어 있는지 확인합니다KEY. 프로젝트 환경 변수에 일반 텍스트 자격 증명이 포함된 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

eks-cluster-secrets-encrypted

를 사용하여 Kubernetes 보안 암호를 암호화하도록 Amazon EKS 클러스터가 구성되지 않았는지 확인합니다 AWS KMS. EKS 클러스터에 encryptionConfig 리소스가 없거나 가 보안 암호를 리소스로 지정 encryptionConfig 하지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

kinesis-stream-encrypted

Amazon Kinesis 스트림이 서버 측 암호화로 저장 시 암호화되어 있는지 확인합니다. 'StreamEncryption'가 없는 경우 Kinesis 스트림의 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

msk-in-cluster-node-require-tls

Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS (TLS)를 사용하여 전송 중 암호화를 적용해야 합니다. 클러스터 내 브로커 노드 연결에 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-encrypted

Amazon Neptune DB 클러스터에 스토리지 암호화가 활성화되어 있는지 확인합니다. 스토리지 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.2 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

dms-endpoint-ssl-configured

AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. 에 SSL 연결이 구성되지 않은 경우 AWS DMS 규칙은 NON_COMPLIANT입니다.
8.3.4 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어, 규칙은 Amazon S3 버킷 정책이 다른 AWS 계정이 버킷의 모든 객체에서 s3:GetBucket* 작업 및 s3: DeleteObject 작업을 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블록리스트에 포함된 작업을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
8.3.4 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

s3- bucket-policy-not-more -허용적

Amazon Simple Storage Service(S3) 버킷 정책이 제공하는 제어 Amazon S3 버킷 정책 이외의 다른 계정 간 권한을 허용하지 않는지 확인합니다.
8.3.4 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

iam-policy-in-use

IAM 정책ARN이 IAM 사용자, 하나 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다.
8.3.4 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-iam-database-인증

Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.4 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

ec2- instance-profile-attached

EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로필이 연결되어 있는지 확인합니다. EC2 인스턴스에 연결된 IAM 프로파일이 없는 경우 규칙은 NON_COMPLIANT입니다.
8.3.4 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
8.3.5 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

access-keys-rotated

maxAccessKey연령에 지정된 일수 내에 활성 IAM 액세스 키가 교체(변경)되었는지 확인합니다. 액세스 키가 지정된 기간 내에 교체되지 않으면 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.5 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-체크

AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 지나고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.5 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 암호가 maxDaysSince순환 일수를 초과하여 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.7 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

access-keys-rotated

maxAccessKey연령에 지정된 일수 내에 활성 IAM 액세스 키가 교체(변경)되었는지 확인합니다. 액세스 키가 지정된 기간 내에 교체되지 않으면 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.7 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-체크

AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 지나고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.7 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 암호가 maxDaysSince순환 일수를 초과하여 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.9 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

access-keys-rotated

maxAccessKey연령에 지정된 일수 내에 활성 IAM 액세스 키가 교체(변경)되었는지 확인합니다. 액세스 키가 지정된 기간 내에 교체되지 않으면 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.3.9 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-체크

AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 지나고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.3.9 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 암호가 maxDaysSince순환 일수를 초과하여 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.4.1 다중 인증(MFA)은 에 대한 액세스를 보호하기 위해 구현됩니다CDE. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.4.2 다중 인증(MFA)은 에 대한 액세스를 보호하기 위해 구현됩니다CDE. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.4.3 다중 인증(MFA)은 에 대한 액세스를 보호하기 위해 구현됩니다CDE. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.6.3 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다. (PCI-DSS-v4.0)

access-keys-rotated

maxAccessKey연령에 지정된 일수 내에 활성 IAM 액세스 키가 교체(변경)되었는지 확인합니다. 액세스 키가 지정된 기간 내에 교체되지 않으면 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
8.6.3 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-scheduled-rotation-success-체크

AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 지나고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다.
8.6.3 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-periodic-rotation

AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 암호가 maxDaysSince순환 일수를 초과하여 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
A1.1.2 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

neptune-cluster-snapshot-public-금지됨

Amazon Neptune 수동 DB 클러스터 스냅샷이 공개되지 않았는지 확인합니다. 기존 및 새 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다.
A1.1.2 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
A1.1.2 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
A1.1.2 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.1.2 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
A1.1.2 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

api-gw-endpoint-type-체크

Amazon API Gateway가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형APIs인지 확인합니다. REST API 가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않는 경우 규칙은 NON_COMPLIANT를 반환합니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

netfw-policy-default-action-fragment-packets

AWS 네트워크 방화벽 정책이 조각 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각 패킷에 대한 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

eks-endpoint-no-public-액세스

Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 엔드포인트에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

restricted-ssh

참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 다릅니다. 보안 그룹의 수신 SSH 트래픽에 액세스할 수 있는지 확인합니다. 규칙은 보안 그룹에서 들어오는 SSH 트래픽의 IP 주소가 제한되는 COMPLIANT 경우입니다(CIDR0.0.0.0/0 또는 ::/0 제외). 그렇지 않으면 NON_COMPLIANT.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

appsync-associated-with-waf

가 웹 액세스 제어 목록()과 AWS WAFv2 연결되어 있는지 AWS AppSync APIs 확인합니다ACLs. 웹 과 연결되지 않은 경우 규칙은 에 대해 AWS AppSync API NON_COMPLIANT입니다ACL.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

codebuild-project-source-repo-URL 확인

Bitbucket 소스 리포지토리에 로그인 보안 인증 정보가 URL DOES NOT 포함되어 있는지 확인합니다. 에 로그인 정보가 URL 포함되어 있고 포함되어 있지 않은 COMPLIANT 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

elb-acm-certificate-required

Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 사용하려면 Classic Load Balancer 에서 SSL 또는 HTTPS리스너를 사용합니다. 참고 - 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 이 false인 경우 규칙은 NON_COMPLIANT이고, true BlockPublicSecurityGroupRules 인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

nacl-no-unrestricted-ssh-rdp

네트워크 액세스 제어 목록(NACLs)의 SSH/RDP 수신 트래픽에 대한 기본 포트가 제한되어 있는지 확인합니다. NACL 인바운드 항목이 포트 22 TCP 또는 3389에 대한 소스 또는 UDP CIDR 블록을 허용하는 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

ec2-client-vpn-not-authorize-모두

AWS 클라이언트 VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'가 있고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 가상 프라이빗 클라우드(Amazon )에 연결되어 있는지 확인합니다VPC. 인터넷 게이트웨이가 승인되지 않은 에 연결된 경우 규칙은 NON_COMPLIANT입니다VPC.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.1.3 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

api-gwv2-access-logs-enabled

Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 'accessLogSettings'가 스테이지 구성에 없는 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

cloudtrail-security-trail-enabled

보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 이 규칙은 다음 사항을 모두 충족하는 추적이 하나 이상 있는 COMPLIANT 경우 적용됩니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

neptune-cluster-cloudwatch-log-export-enabled

Amazon Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에 감사 CloudWatch 로그에 대해 로그 내보내기가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

ecs-task-definition-log-구성

logConfiguration 이 활성 ECS 작업 정의에 설정되어 있는지 확인합니다. 이 규칙은 활성 에 logConfiguration 리소스가 정의ECSTaskDefinition되지 않았거나 하나 이상의 컨테이너 정의에서 의 값이 null인 경우 NON_COMPLIANT logConfiguration 입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail 사용)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 선택적으로 규칙은 특정 S3 버킷, Amazon Simple Notification Service(AmazonSNS) 주제 및 CloudWatch 로그 그룹을 확인합니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

multi-region-cloudtrail-enabled

참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 다릅니다. 다중 리전이 하나 이상 있는지 확인합니다 AWS CloudTrail. 추적이 입력 파라미터와 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail 가 이벤트 또는 Amazon RDS Data 이벤트와 같은 AWS KMS 관리 API 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

appsync-logging-enabled

에 AWS AppSync API 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT이거나 'fieldLogLevel'은 ERROR 도 아닙니다ALL.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-logging-활성화됨

Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

mq-cloudwatch-audit-log-활성화됨

Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

eks-cluster-logging-enabled

Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

elastic-beanstalk-logs-to-클라우드워치

Amazon CloudWatch Logs로 로그를 보내도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. `StreamLogs` 값이 false인 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

step-functions-state-machine-logging-enabled

AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되지 않았거나 로깅 구성이 제공된 최소 수준이 아닌 경우 규칙은 NON_COMPLIANT입니다.
A1.2.1 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

netfw-logging-enabled

AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다.
A1.2.3 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0)

security-account-information-provided

AWS 계정 연락처에 대한 보안 연락처 정보를 제공했는지 확인합니다. 계정 내 보안 연락처 정보가 제공되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A3.2.5.1 PCI DSS 범위가 문서화되고 검증됩니다. (PCI-DSS-v4.0)

macie-auto-sensitive-data-discovery-check

Amazon Macie 에 민감한 데이터 자동 검색이 활성화되어 있는지 확인합니다. 민감한 데이터 자동 검색이 비활성화된 경우 규칙은 NON_COMPLIANT입니다. 규칙은 관리자 계정APPLICABLE의 경우 이고 멤버 계정의 경우 NOT_APPLICABLE입니다.
A3.2.5.1 PCI DSS 범위가 문서화되고 검증됩니다. (PCI-DSS-v4.0)

macie-status-check

리전별 계정에서 Amazon Macie가 활성화되어 있는지 확인합니다. '상태' 속성이 ''으로 설정되지 않은 경우 규칙은 NON_COMPLIANT입니다ENABLED.
A3.2.5.2 PCI DSS 범위가 문서화되고 검증됩니다. (PCI-DSS-v4.0)

macie-auto-sensitive-data-discovery-check

Amazon Macie 에 민감한 데이터 자동 검색이 활성화되어 있는지 확인합니다. 민감한 데이터 자동 검색이 비활성화된 경우 규칙은 NON_COMPLIANT입니다. 규칙은 관리자 계정APPLICABLE의 경우 이고 멤버 계정의 경우 NOT_APPLICABLE입니다.
A3.2.5.2 PCI DSS 범위가 문서화되고 검증됩니다. (PCI-DSS-v4.0)

macie-status-check

리전별 계정에서 Amazon Macie가 활성화되어 있는지 확인합니다. '상태' 속성이 ''으로 설정되지 않은 경우 규칙은 NON_COMPLIANT입니다ENABLED.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

지정된 지표 이름의 CloudWatch 경보에 지정된 설정이 있는지 확인합니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
A3.3.1 PCI DSS 는 (BAU) 활동에 통합 business-as-usual됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

neptune-cluster-snapshot-public-금지됨

Amazon Neptune 수동 DB 클러스터 스냅샷이 공개되지 않았는지 확인합니다. 기존 및 새 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

backup-recovery-point-manual-deletion-disabled

백업 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. Backup Vault에 리소스 기반 정책이 없거나 적절한 '거부' 문(백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업:권PutBackupVaultAccessPolicy 한이 포함된 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

emr-block-public-access

Amazon이 있는 계정에 퍼블릭 액세스 차단 설정이 활성화EMR되어 있는지 확인합니다. 가 false인 경우 규칙은 NON_COMPLIANT BlockPublicSecurityGroupRules 이고, true인 경우 포트 22 이외의 포트가 에 나열됩니다 PermittedPublicSecurityGroupRuleRanges.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

secretsmanager-secret-unused

AWS Secrets Manager 보안 암호에 지정된 일수 내에 액세스했는지 확인합니다. 'unusedForDays'일 수 동안 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

s3-access-point-public-access-블록

Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

s3- account-level-public-access -블록

필요한 퍼블릭 액세스 블록 설정이 계정 수준에서 구성되었는지 확인합니다. 규칙은 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 NON_COMPLIANT입니다.
A3.4.1 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0)

s3-bucket-mfa-delete-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA 삭제가 활성화되어 있는지 확인합니다. MFA 삭제가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

api-gw-xray-enabled

Amazon API Gateway REST 에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다APIs. 규칙은 X-Ray 추적이 활성화되어 있고 그렇지 않은 COMPLIANT 경우 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

ec2- instance-detailed-monitoring-enabled

EC2 인스턴스에 대해 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-action-check

CloudWatch 경보에 ALARM, INSUFFICIENT_ DATA또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 선택적으로 모든 작업이 이름이 인 와 일치하는지 확인합니다ARN. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-resource-check

리소스 유형에 명명된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형의 경우 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 규칙은 명명된 지표에 리소스 ID와 CloudWatch 경보가 있는 COMPLIANT 경우입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

cloudwatch-alarm-settings-check

지정된 지표 이름의 CloudWatch 경보에 지정된 설정이 있는지 확인합니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

wafv2-rulegroup-logging-enabled

규칙 그룹에서 Amazon CloudWatch 보안 지표 수집 AWS WAFv2이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다.
A3.5.1 의심스러운 이벤트가 식별되고 대응됩니다. (PCI-DSS-v4.0)

sns-topic-message-delivery-알림 활성화

엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다.

템플릿

템플릿은 GitHub: PCI DSS 4.0 운영 모범 사례(글로벌 리소스 유형 제외)에서 사용할 수 있습니다.