Security Hub 제어에 대한 지역별 제한

대부분 AWS Security Hub 컨트롤은 일부 지역에서만 사용할 수 있습니다. AWS 리전. 이 페이지에는 각 지역에서 사용할 수 없는 컨트롤이 표시됩니다. 로그인한 리전에서 제어 기능을 사용할 수 없는 경우 Security Hub 콘솔의 제어 기능 목록에 제어 기능이 표시되지 않습니다. 단, 집계 영역에 로그인한 경우는 예외입니다. 이 경우 집계 영역 또는 하나 이상의 연결된 리전에서 사용할 수 있는 제어 기능을 볼 수 있습니다.

목차

• 미국 동부(버지니아 북부)
• 미국 동부(오하이오)
• 미국 서부(캘리포니아 북부)
• 미국 서부(오레곤)
• 아프리카(케이프타운)
• 아시아 태평양(홍콩)
• 아시아 태평양(하이데라바드)
• 아시아 태평양(자카르타)
• 아시아 태평양(뭄바이)
• 아시아 태평양(멜버른)
• 아시아 태평양(오사카)
• 아시아 태평양(서울)
• 아시아 태평양(싱가포르)
• 아시아 태평양(시드니)
• 아시아 태평양(도쿄)
• 캐나다(중부)
• 중국(베이징)
• 중국(닝샤)
• 유럽(프랑크푸르트)
• 유럽(아일랜드)
• 유럽(런던)
• 유럽(밀라노)
• 유럽(파리)
• 유럽(스페인)
• 유럽(스톡홀름)
• 유럽(취리히)
• 이스라엘(텔아비브)
• 중동(바레인)
• 중동 () UAE
• 남아메리카(상파울루)
• AWS GovCloud (미국 동부)
• AWS GovCloud (미국 서부)

미국 동부(버지니아 북부)

다음 제어 기능은 미국 동부(버지니아 북부)에서 지원되지 않습니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

미국 동부(오하이오)

다음 제어 기능은 미국 동부(오하이오)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

미국 서부(캘리포니아 북부)

다음 제어 기능은 미국 서부(캘리포니아 북부)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

미국 서부(오레곤)

다음 제어 기능은 미국 서부(오리건)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

아프리카(케이프타운)

다음 제어 기능은 아프리카(케이프타운)에서 지원되지 않습니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.12] 사용하지 않는 아마존은 EC2 EIPs 삭제해야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

아시아 태평양(홍콩)

다음 제어 기능은 아시아 태평양(홍콩)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

아시아 태평양(하이데라바드)

다음 제어 기능은 아시아 태평양(하이데라바드)에서 지원되지 않습니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.4] Athena 워크그룹은 로깅을 활성화해야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

• [CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되었는지 확인하십시오. CloudTrail

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ELB.5] 애플리케이션 및 클래식 로드 밸런서 로깅을 활성화해야 합니다.

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 는 모든 IAM 사용자가 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [RDS.2] RDS DB 인스턴스는 다음 규정에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config기간

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.

• [Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.6] S3 범용 버킷 정책은 다른 버킷에 대한 액세스를 제한해야 합니다. AWS 계정

• [S3.17] S3 범용 버킷은 저장 시 다음을 사용하여 암호화해야 합니다. AWS KMS keys

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

아시아 태평양(자카르타)

다음 제어 기능은 아시아 태평양(자카르타)에서 지원되지 않습니다.

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.1] API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다.

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [AutoScaling.3] Auto Scaling 그룹 시작 구성에서는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 요구하도록 EC2 인스턴스를 구성해야 합니다.

• [AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.

• [AutoScaling.9] 아마존 EC2 오토 스케일링 그룹은 아마존 EC2 시작 템플릿을 사용해야 합니다.

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudWatch.17] CloudWatch 알람 조치를 활성화해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.

• [ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행되어야 합니다.

• [ECS.5] ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다.

• [ECS.8] 시크릿은 컨테이너 환경 변수로 전달되어서는 안 된다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.

• [ECS.12] ECS 클러스터는 컨테이너 인사이트를 사용해야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [글루.2] AWS Glue 작업에 로깅이 활성화되어 있어야 합니다.

• [접착제.3] AWS Glue 기계 학습 변환은 유휴 상태에서 암호화되어야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.

• [Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다.

• [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [ServiceCatalog.1] Service Catalog 포트폴리오는 다음 회사 내에서 공유되어야 합니다. AWS 조직 전용

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

아시아 태평양(뭄바이)

다음 제어 기능은 아시아 태평양(뭄바이)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

아시아 태평양(멜버른)

다음 제어 기능은 아시아 태평양(멜버른)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.4] Athena 워크그룹은 로깅을 활성화해야 합니다.

• [AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.9] Amazon EC2 인스턴스에는 공개 IPv4 주소가 없어야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.2] ElastiCache (RedisOSS) 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [FSx.2] Lustre의 경우 FSx 백업에 태그를 복사하도록 파일 시스템을 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.10] IAM 사용자를 위한 암호 정책은 강력해야 합니다. AWS Config지속 시간

• [IAM.11] IAM 암호 정책에 하나 이상의 대문자가 필요한지 확인하십시오.

• [IAM.12] IAM 암호 정책에 최소 하나 이상의 소문자가 필요한지 확인하십시오.

• [IAM.13] IAM 암호 정책에 하나 이상의 기호가 필요한지 확인하십시오.

• [IAM.14] IAM 암호 정책에 최소 하나 이상의 숫자가 필요한지 확인하십시오.

• [IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 하는지 확인하십시오.

• [IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인하십시오.

• [IAM.17] IAM 암호 정책이 90일 이내에 암호가 만료되도록 하십시오.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 는 모든 IAM 사용자가 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

• [S3.15] S3 범용 버킷에는 객체 잠금이 활성화되어 있어야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SNS.1] SNS 주제는 유휴 상태에서 다음을 사용하여 암호화해야 합니다. AWS KMS

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [SSM.4] SSM 문서는 공개해서는 안 됩니다.

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

아시아 태평양(오사카)

다음 제어 기능은 아시아 태평양(오사카)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.1] API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다.

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.7] EBS 기본 암호화가 활성화되어야 합니다.

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.9] Amazon EC2 인스턴스에는 공개 IPv4 주소가 없어야 합니다.

• [EC2.10] Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 Amazon을 구성해야 합니다. EC2

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.

• [ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행되어야 합니다.

• [ECS.8] 시크릿은 컨테이너 환경 변수로 전달되어서는 안 된다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.

• [ECS.12] ECS 클러스터는 컨테이너 인사이트를 사용해야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.3] Classic Load Balancer 리스너는 또는 종료를 사용하여 구성해야 합니다. HTTPS TLS

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.6] 애플리케이션, 게이트웨이, 네트워크 로드 밸런서는 삭제 보호를 활성화해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.9] 클래식 로드 밸런서는 영역 간 로드 밸런싱을 활성화해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.

• [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.

• [Lambda.3] 람다 함수는 a에 있어야 합니다. VPC

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 유휴 상태에서 암호화해야 합니다.

• [RDS.6] DB 인스턴스에 대한 향상된 모니터링을 구성해야 합니다. RDS

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.15] S3 범용 버킷에는 객체 잠금이 활성화되어 있어야 합니다.

• [S3.17] S3 범용 버킷은 저장 시 다음을 사용하여 암호화해야 합니다. AWS KMS keys

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SNS.1] SNS 주제는 유휴 상태에서 다음을 사용하여 암호화해야 합니다. AWS KMS

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

아시아 태평양(서울)

다음 제어 기능은 아시아 태평양(서울)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

아시아 태평양(싱가포르)

다음 제어 기능은 아시아 태평양(싱가포르)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

아시아 태평양(시드니)

다음 제어 기능은 아시아 태평양(시드니)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

아시아 태평양(도쿄)

다음 제어 기능은 아시아 태평양(도쿄)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

캐나다(중부)

다음 제어 기능은 캐나다(중부)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

중국(베이징)

다음 제어 기능은 중국(베이징)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [ACM.3] ACM 인증서에는 태그를 지정해야 합니다.

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [AppSync.4] AWS AppSync APIsGraphQL에는 태그가 지정되어야 합니다.

• [Athena.2] Athena 데이터 카탈로그에는 태그가 지정되어야 합니다.

• [Athena.3] Athena 워크그룹은 태그가 지정되어야 합니다

• [AutoScaling.10] EC2 Auto Scaling 그룹에는 태그를 지정해야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.3] AWS Backup 보관소에는 태그가 지정되어야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [백업.5] AWS Backup 백업 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.9] CloudTrail 트레일에는 태그를 지정해야 합니다.

• [CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DataFirehose.1] Firehose 전송 스트림은 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.33] EC2 트랜짓 게이트웨이 첨부 파일에는 태그를 지정해야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.35] EC2 네트워크 인터페이스에는 태그를 지정해야 합니다.

• [EC2.36] EC2 고객 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.37] EC2 엘라스틱 IP 주소에는 태그를 지정해야 합니다.

• [EC2.38] EC2 인스턴스에는 태그를 지정해야 합니다.

• [EC2.39] EC2 인터넷 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.41] EC2 네트워크에는 태그가 ACLs 지정되어야 합니다.

• [EC2.42] EC2 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.43] EC2 보안 그룹에는 태그를 지정해야 합니다.

• [EC2.44] EC2 서브넷에는 태그를 지정해야 합니다.

• [EC2.45] EC2 볼륨에는 태그를 지정해야 합니다.

• [EC2.46] 아마존에는 태그가 VPCs 지정되어야 합니다

• [EC2.47] Amazon VPC 엔드포인트 서비스는 태그가 지정되어야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.49] Amazon VPC 피어링 연결에는 태그가 지정되어야 합니다.

• [EC2.50] EC2 VPN 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [EC2.52] EC2 트랜짓 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.

• [EC2.54] EC2 보안 그룹은: :/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.13] ECS 서비스에는 태그를 지정해야 합니다.

• [ECS.14] ECS 클러스터에는 태그를 지정해야 합니다.

• [ECS.15] ECS 작업 정의에는 태그를 지정해야 합니다.

• [EFS.5] EFS 액세스 포인트에는 태그를 지정해야 합니다.

• [EFS.6] EFS 탑재 대상을 퍼블릭 서브넷과 연결해서는 안 됩니다.

• [EKS.3] EKS 클러스터는 암호화된 쿠버네티스 비밀을 사용해야 합니다.

• [EKS.6] EKS 클러스터에는 태그를 지정해야 합니다.

• [EKS.7] EKS ID 공급자 구성에는 태그를 지정해야 합니다.

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.2] Amazon 공개 액세스 EMR 차단 설정을 활성화해야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [ES.9] Elasticsearch 도메인에는 태그를 지정해야 합니다.

• [EventBridge.2] EventBridge 이벤트 버스에 태그를 지정해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [FSx.2] Lustre의 경우 FSx 백업에 태그를 복사하도록 파일 시스템을 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.4] GuardDuty 디텍터는 태그를 지정해야 합니다.

• [GuardDuty.5] GuardDuty EKS 감사 로그 모니터링을 활성화해야 합니다.

• [GuardDuty.6] GuardDuty Lambda 보호를 활성화해야 합니다.

• [GuardDuty.8] GuardDuty 멀웨어 보호를 활성화해야 합니다. EC2

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [GuardDuty.10] GuardDuty S3 보호를 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• 루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.23] IAM 액세스 분석기는 태그를 지정해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [IAM.28] IAM 액세스 분석기 외부 액세스 분석기를 활성화해야 합니다.

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.2] Kinesis 스트림에는 태그가 지정되어야 합니다.

• [Lambda.6] Lambda 함수는 태그가 지정되어야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.7] Network Firewall 방화벽에는 태그를 지정해야 합니다.

• [NetworkFirewall.8] Network Firewall 방화벽 정책에 태그를 지정해야 합니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.16] 태그를 스냅샷에 복사하도록 RDS DB 클러스터를 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.28] RDS DB 클러스터에는 태그를 지정해야 합니다.

• [RDS.29] RDS DB 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [RDS.30] RDS DB 인스턴스에는 태그를 지정해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.32] RDS DB 스냅샷에는 태그를 지정해야 합니다.

• [RDS.33] RDS DB 서브넷 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.11] Redshift 클러스터에는 태그를 지정해야 합니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Redshift.13] Redshift 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [Redshift.14] Redshift 클러스터 서브넷 그룹에는 태그를 지정해야 합니다.

• [Redshift.15] Redshift 보안 그룹은 제한된 출처의 클러스터 포트에서만 수신을 허용해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

• [S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.

• [S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SecretsManager.3] 사용하지 않는 Secrets Manager 시크릿 삭제

• [SecretsManager.4] Secrets Manager 비밀은 지정된 일수 내에 교체되어야 합니다.

• [SecretsManager.5] Secrets Manager 비밀에는 태그를 지정해야 합니다.

• [ServiceCatalog.1] Service Catalog 포트폴리오는 다음 회사 내에서 공유되어야 합니다. AWS 조직 전용

• [SNS.3] SNS 주제에는 태그를 지정해야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.

• [전송.1] AWS Transfer Family 워크플로에는 태그를 지정해야 합니다.

• [Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용하지 않아야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

중국(닝샤)

다음 제어 기능은 중국(닝샤)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [ACM.3] ACM 인증서에는 태그를 지정해야 합니다.

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [AppSync.4] AWS AppSync APIsGraphQL에는 태그가 지정되어야 합니다.

• [Athena.2] Athena 데이터 카탈로그에는 태그가 지정되어야 합니다.

• [Athena.3] Athena 워크그룹은 태그가 지정되어야 합니다

• [AutoScaling.10] EC2 Auto Scaling 그룹에는 태그를 지정해야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.3] AWS Backup 보관소에는 태그가 지정되어야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [백업.5] AWS Backup 백업 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.9] CloudTrail 트레일에는 태그를 지정해야 합니다.

• [CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DataFirehose.1] Firehose 전송 스트림은 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.33] EC2 트랜짓 게이트웨이 첨부 파일에는 태그를 지정해야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.35] EC2 네트워크 인터페이스에는 태그를 지정해야 합니다.

• [EC2.36] EC2 고객 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.37] EC2 엘라스틱 IP 주소에는 태그를 지정해야 합니다.

• [EC2.38] EC2 인스턴스에는 태그를 지정해야 합니다.

• [EC2.39] EC2 인터넷 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.41] EC2 네트워크에는 태그가 ACLs 지정되어야 합니다.

• [EC2.42] EC2 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.43] EC2 보안 그룹에는 태그를 지정해야 합니다.

• [EC2.44] EC2 서브넷에는 태그를 지정해야 합니다.

• [EC2.45] EC2 볼륨에는 태그를 지정해야 합니다.

• [EC2.46] 아마존에는 태그가 VPCs 지정되어야 합니다

• [EC2.47] Amazon VPC 엔드포인트 서비스는 태그가 지정되어야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.49] Amazon VPC 피어링 연결에는 태그가 지정되어야 합니다.

• [EC2.50] EC2 VPN 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [EC2.52] EC2 트랜짓 게이트웨이에는 태그를 지정해야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.13] ECS 서비스에는 태그를 지정해야 합니다.

• [ECS.14] ECS 클러스터에는 태그를 지정해야 합니다.

• [ECS.15] ECS 작업 정의에는 태그를 지정해야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EFS.5] EFS 액세스 포인트에는 태그를 지정해야 합니다.

• [EFS.6] EFS 탑재 대상을 퍼블릭 서브넷과 연결해서는 안 됩니다.

• [EKS.3] EKS 클러스터는 암호화된 쿠버네티스 비밀을 사용해야 합니다.

• [EKS.6] EKS 클러스터에는 태그를 지정해야 합니다.

• [EKS.7] EKS ID 공급자 구성에는 태그를 지정해야 합니다.

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.2] Amazon 공개 액세스 EMR 차단 설정을 활성화해야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [ES.9] Elasticsearch 도메인에는 태그를 지정해야 합니다.

• [EventBridge.2] EventBridge 이벤트 버스에 태그를 지정해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [FSx.2] Lustre의 경우 FSx 백업에 태그를 복사하도록 파일 시스템을 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [접착제.3] AWS Glue 기계 학습 변환은 유휴 상태에서 암호화되어야 합니다.

• [GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.4] GuardDuty 디텍터는 태그를 지정해야 합니다.

• [GuardDuty.5] GuardDuty EKS 감사 로그 모니터링을 활성화해야 합니다.

• [GuardDuty.6] GuardDuty Lambda 보호를 활성화해야 합니다.

• [GuardDuty.8] GuardDuty 멀웨어 보호를 활성화해야 합니다. EC2

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [GuardDuty.10] GuardDuty S3 보호를 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• 루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.23] IAM 액세스 분석기는 태그를 지정해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [IAM.28] IAM 액세스 분석기 외부 액세스 분석기를 활성화해야 합니다.

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.2] Kinesis 스트림에는 태그가 지정되어야 합니다.

• [Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.

• [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.

• [Lambda.3] 람다 함수는 a에 있어야 합니다. VPC

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Lambda.6] Lambda 함수는 태그가 지정되어야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.7] Network Firewall 방화벽에는 태그를 지정해야 합니다.

• [NetworkFirewall.8] Network Firewall 방화벽 정책에 태그를 지정해야 합니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.28] RDS DB 클러스터에는 태그를 지정해야 합니다.

• [RDS.29] RDS DB 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [RDS.30] RDS DB 인스턴스에는 태그를 지정해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.32] RDS DB 스냅샷에는 태그를 지정해야 합니다.

• [RDS.33] RDS DB 서브넷 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.11] Redshift 클러스터에는 태그를 지정해야 합니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Redshift.13] Redshift 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [Redshift.14] Redshift 클러스터 서브넷 그룹에는 태그를 지정해야 합니다.

• [Redshift.15] Redshift 보안 그룹은 제한된 출처의 클러스터 포트에서만 수신을 허용해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SecretsManager.3] 사용하지 않는 Secrets Manager 시크릿 삭제

• [SecretsManager.4] Secrets Manager 비밀은 지정된 일수 내에 교체되어야 합니다.

• [SecretsManager.5] Secrets Manager 비밀에는 태그를 지정해야 합니다.

• [ServiceCatalog.1] Service Catalog 포트폴리오는 다음 회사 내에서 공유되어야 합니다. AWS 조직 전용

• [SNS.3] SNS 주제에는 태그를 지정해야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.

• [전송.1] AWS Transfer Family 워크플로에는 태그를 지정해야 합니다.

• [Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용하지 않아야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

유럽(프랑크푸르트)

다음 제어 기능은 유럽(프랑크푸르트)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

유럽(아일랜드)

다음 제어 기능은 유럽(아일랜드)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

유럽(런던)

다음 제어 기능은 유럽(런던)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

유럽(밀라노)

다음 제어 기능은 유럽(밀라노)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.12] 사용하지 않는 아마존은 EC2 EIPs 삭제해야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.12] ECS 클러스터는 컨테이너 인사이트를 사용해야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 유휴 상태에서 암호화해야 합니다.

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

유럽(파리)

다음 제어 기능은 유럽(파리)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

유럽(스페인)

다음 제어 기능은 유럽(스페인)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.4] Athena 워크그룹은 로깅을 활성화해야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

• [CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되었는지 확인하십시오. CloudTrail

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

• [DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

• [EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs

• [EC2.7] EBS 기본 암호화가 활성화되어야 합니다.

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.9] Amazon EC2 인스턴스에는 공개 IPv4 주소가 없어야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.3] Classic Load Balancer 리스너는 또는 종료를 사용하여 구성해야 합니다. HTTPS TLS

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.5] 애플리케이션 및 클래식 로드 밸런서 로깅을 활성화해야 합니다.

• [ELB.6] 애플리케이션, 게이트웨이, 네트워크 로드 밸런서는 삭제 보호를 활성화해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.9] 클래식 로드 밸런서는 영역 간 로드 밸런싱을 활성화해야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 는 모든 IAM 사용자가 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [KMS.4] AWS KMS 키 로테이션을 활성화해야 합니다.

• [Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.

• [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.

• [Lambda.3] 람다 함수는 a에 있어야 합니다. VPC

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.2] RDS DB 인스턴스는 다음 규정에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config기간

• [RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 유휴 상태에서 암호화해야 합니다.

• [RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.

• [RDS.6] DB 인스턴스에 대한 향상된 모니터링을 구성해야 합니다. RDS

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.

• [Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.5] S3 범용 버킷을 사용하려면 사용 요청이 있어야 합니다. SSL

• [S3.6] S3 범용 버킷 정책은 다른 버킷에 대한 액세스를 제한해야 합니다. AWS 계정

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.9] S3 범용 버킷은 서버 액세스 로깅을 활성화해야 합니다.

• [S3.15] S3 범용 버킷에는 객체 잠금이 활성화되어 있어야 합니다.

• [S3.17] S3 범용 버킷은 저장 시 다음을 사용하여 암호화해야 합니다. AWS KMS keys

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SNS.1] SNS 주제는 유휴 상태에서 다음을 사용하여 암호화해야 합니다. AWS KMS

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

유럽(스톡홀름)

다음 제어 기능은 유럽(스톡홀름)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

유럽(취리히)

다음 제어 기능은 유럽(취리히)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.4] Athena 워크그룹은 로깅을 활성화해야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

• [CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되었는지 확인하십시오. CloudTrail

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

• [DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.9] Amazon EC2 인스턴스에는 공개 IPv4 주소가 없어야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.3] Classic Load Balancer 리스너는 또는 종료를 사용하여 구성해야 합니다. HTTPS TLS

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.9] 클래식 로드 밸런서는 영역 간 로드 밸런싱을 활성화해야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 는 모든 IAM 사용자가 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.

• [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SNS.1] SNS 주제는 유휴 상태에서 다음을 사용하여 암호화해야 합니다. AWS KMS

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

이스라엘(텔아비브)

다음 제어 기능은 이스라엘(텔아비브)에서 지원되지 않습니다.

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.4] Athena 워크그룹은 로깅을 활성화해야 합니다.

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [DataSync.1] DataSync 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs

• [EC2.10] Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 Amazon을 구성해야 합니다. EC2

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.33] EC2 트랜짓 게이트웨이 첨부 파일에는 태그를 지정해야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EFS.6] EFS 탑재 대상을 퍼블릭 서브넷과 연결해서는 안 됩니다.

• [EFS.7] EFS 파일 시스템에는 자동 백업이 활성화되어 있어야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [EKS.3] EKS 클러스터는 암호화된 쿠버네티스 비밀을 사용해야 합니다.

• [EKS.6] EKS 클러스터에는 태그를 지정해야 합니다.

• [EKS.7] EKS ID 공급자 구성에는 태그를 지정해야 합니다.

• [EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.6] 애플리케이션, 게이트웨이, 네트워크 로드 밸런서는 삭제 보호를 활성화해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.2] ElastiCache (RedisOSS) 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [FSx.2] Lustre의 경우 FSx 백업에 태그를 복사하도록 파일 시스템을 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.7] IAM 사용자를 위한 암호 정책은 강력한 구성을 가져야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• 루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.

• [IAM.10] IAM 사용자를 위한 암호 정책은 강력해야 합니다. AWS Config지속 시간

• [IAM.11] IAM 암호 정책에 하나 이상의 대문자가 필요한지 확인하십시오.

• [IAM.12] IAM 암호 정책에 최소 하나 이상의 소문자가 필요한지 확인하십시오.

• [IAM.13] IAM 암호 정책에 하나 이상의 기호가 필요한지 확인하십시오.

• [IAM.14] IAM 암호 정책에 최소 하나 이상의 숫자가 필요한지 확인하십시오.

• [IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 하는지 확인하십시오.

• [IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인하십시오.

• [IAM.17] IAM 암호 정책이 90일 이내에 암호가 만료되도록 하십시오.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 는 모든 IAM 사용자가 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [IAM.28] IAM 액세스 분석기 외부 액세스 분석기를 활성화해야 합니다.

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [Kinesis.2] Kinesis 스트림에는 태그가 지정되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [MQ.2] ActiveMQ 브로커는 감사 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 유휴 상태에서 암호화해야 합니다.

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.29] RDS DB 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

• [Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.

• [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.

• [S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다.

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.9] S3 범용 버킷은 서버 액세스 로깅을 활성화해야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [ServiceCatalog.1] Service Catalog 포트폴리오는 다음 회사 내에서 공유되어야 합니다. AWS 조직 전용

• [SNS.1] SNS 주제는 유휴 상태에서 다음을 사용하여 암호화해야 합니다. AWS KMS

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [SSM.4] SSM 문서는 공개해서는 안 됩니다.

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.12] AWS WAF 규칙에는 CloudWatch 메트릭이 활성화되어 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

중동(바레인)

다음 제어 기능은 중동(바레인)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

중동 () UAE

다음 컨트롤은 중동 (UAE) 에서 지원되지 않습니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.

• [백업.1] AWS Backup 복구 지점은 유휴 상태에서 암호화해야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.1] 을 활성화하고 읽기 및 쓰기 관리 이벤트를 포함하는 다중 지역 트레일을 하나 이상 사용하여 CloudTrail 구성해야 합니다.

• [CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

• [CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CloudWatch.17] CloudWatch 알람 조치를 활성화해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [CodeBuild.7] CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다.

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DMS.10] Neptune DMS 데이터베이스의 엔드포인트에는 권한 부여가 활성화되어 있어야 합니다. IAM

• [DMS.11] MongoDB의 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.

• [DMS.12] Redis용 DMS 엔드포인트가 활성화되어 OSS 있어야 합니다. TLS

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.12] 사용하지 않는 아마존은 EC2 EIPs 삭제해야 합니다.

• [EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

• [EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.3] Classic Load Balancer 리스너는 또는 종료를 사용하여 구성해야 합니다. HTTPS TLS

• [ELB.9] 클래식 로드 밸런서는 영역 간 로드 밸런싱을 활성화해야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.2] ElastiCache (RedisOSS) 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• 루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 는 모든 IAM 사용자가 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

• [Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [KMS.4] AWS KMS 키 로테이션을 활성화해야 합니다.

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.

• [Opensearch.11] OpenSearch 도메인에는 전용 기본 노드가 3개 이상 있어야 합니다.

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.2] RDS DB 인스턴스는 다음 규정에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config기간

• [RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.

• [RDS.6] DB 인스턴스에 대한 향상된 모니터링을 구성해야 합니다. RDS

• [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.

• [S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다.

• [S3.5] S3 범용 버킷을 사용하려면 사용 요청이 있어야 합니다. SSL

• [S3.6] S3 범용 버킷 정책은 다른 버킷에 대한 액세스를 제한해야 합니다. AWS 계정

• [S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SNS.1] SNS 주제는 유휴 상태에서 다음을 사용하여 암호화해야 합니다. AWS KMS

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

남아메리카(상파울루)

다음 제어 기능은 남아메리카(상파울루)에서 지원되지 않습니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [RDS.7] RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

AWS GovCloud (미국 동부)

다음 컨트롤은 지원되지 않습니다. AWS GovCloud (미국 동부).

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [ACM.3] ACM 인증서에는 태그를 지정해야 합니다.

• [계정.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.4] AWS AppSync APIsGraphQL에는 태그가 지정되어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.2] Athena 데이터 카탈로그에는 태그가 지정되어야 합니다.

• [Athena.3] Athena 워크그룹은 태그가 지정되어야 합니다

• [AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.

• [AutoScaling.3] Auto Scaling 그룹 시작 구성에서는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 요구하도록 EC2 인스턴스를 구성해야 합니다.

• [AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.

• [AutoScaling.9] 아마존 EC2 오토 스케일링 그룹은 아마존 EC2 시작 템플릿을 사용해야 합니다.

• [AutoScaling.10] EC2 Auto Scaling 그룹에는 태그를 지정해야 합니다.

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.3] AWS Backup 보관소에는 태그가 지정되어야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [백업.5] AWS Backup 백업 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.9] CloudTrail 트레일에는 태그를 지정해야 합니다.

• [CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CloudWatch.17] CloudWatch 알람 조치를 활성화해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

• [EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.33] EC2 트랜짓 게이트웨이 첨부 파일에는 태그를 지정해야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.35] EC2 네트워크 인터페이스에는 태그를 지정해야 합니다.

• [EC2.36] EC2 고객 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.37] EC2 엘라스틱 IP 주소에는 태그를 지정해야 합니다.

• [EC2.38] EC2 인스턴스에는 태그를 지정해야 합니다.

• [EC2.39] EC2 인터넷 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.41] EC2 네트워크에는 태그가 ACLs 지정되어야 합니다.

• [EC2.42] EC2 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.43] EC2 보안 그룹에는 태그를 지정해야 합니다.

• [EC2.44] EC2 서브넷에는 태그를 지정해야 합니다.

• [EC2.45] EC2 볼륨에는 태그를 지정해야 합니다.

• [EC2.46] 아마존에는 태그가 VPCs 지정되어야 합니다

• [EC2.47] Amazon VPC 엔드포인트 서비스는 태그가 지정되어야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.49] Amazon VPC 피어링 연결에는 태그가 지정되어야 합니다.

• [EC2.50] EC2 VPN 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.52] EC2 트랜짓 게이트웨이에는 태그를 지정해야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.

• [ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행되어야 합니다.

• [ECS.5] ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다.

• [ECS.8] 시크릿은 컨테이너 환경 변수로 전달되어서는 안 된다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.

• [ECS.12] ECS 클러스터는 컨테이너 인사이트를 사용해야 합니다.

• [ECS.13] ECS 서비스에는 태그를 지정해야 합니다.

• [ECS.14] ECS 클러스터에는 태그를 지정해야 합니다.

• [ECS.15] ECS 작업 정의에는 태그를 지정해야 합니다.

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EFS.5] EFS 액세스 포인트에는 태그를 지정해야 합니다.

• [EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [EKS.6] EKS 클러스터에는 태그를 지정해야 합니다.

• [EKS.7] EKS ID 공급자 구성에는 태그를 지정해야 합니다.

• [EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.2] ElastiCache (RedisOSS) 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.2] Amazon 공개 액세스 EMR 차단 설정을 활성화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [ES.9] Elasticsearch 도메인에는 태그를 지정해야 합니다.

• [EventBridge.2] EventBridge 이벤트 버스에 태그를 지정해야 합니다.

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [FSx.2] Lustre의 경우 FSx 백업에 태그를 복사하도록 파일 시스템을 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [접착제.3] AWS Glue 기계 학습 변환은 유휴 상태에서 암호화되어야 합니다.

• [GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.4] GuardDuty 디텍터는 태그를 지정해야 합니다.

• [GuardDuty.8] GuardDuty 멀웨어 보호를 활성화해야 합니다. EC2

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• 루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.23] IAM 액세스 분석기는 태그를 지정해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.

• [IAM.28] IAM 액세스 분석기 외부 액세스 분석기를 활성화해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [Kinesis.2] Kinesis 스트림에는 태그가 지정되어야 합니다.

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Lambda.6] Lambda 함수는 태그가 지정되어야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.7] Network Firewall 방화벽에는 태그를 지정해야 합니다.

• [NetworkFirewall.8] Network Firewall 방화벽 정책에 태그를 지정해야 합니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.28] RDS DB 클러스터에는 태그를 지정해야 합니다.

• [RDS.29] RDS DB 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [RDS.30] RDS DB 인스턴스에는 태그를 지정해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.32] RDS DB 스냅샷에는 태그를 지정해야 합니다.

• [RDS.33] RDS DB 서브넷 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.

• [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.11] Redshift 클러스터에는 태그를 지정해야 합니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Redshift.13] Redshift 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [Redshift.14] Redshift 클러스터 서브넷 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

• [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다.

• [S3.12] 는 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACLs 사용해서는 안 됩니다.

• [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

• [S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

• [S3.20] S3 범용 버킷은 삭제가 활성화되어 있어야 합니다. MFA

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SecretsManager.3] 사용하지 않는 Secrets Manager 시크릿 삭제

• [SecretsManager.4] Secrets Manager 비밀은 지정된 일수 내에 교체되어야 합니다.

• [SecretsManager.5] Secrets Manager 비밀에는 태그를 지정해야 합니다.

• [SNS.3] SNS 주제에는 태그를 지정해야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.4] SSM 문서는 공개해서는 안 됩니다.

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.

• [전송.1] AWS Transfer Family 워크플로에는 태그를 지정해야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.12] AWS WAF 규칙에는 CloudWatch 메트릭이 활성화되어 있어야 합니다.

• [WorkSpaces.1] WorkSpaces 사용자 볼륨은 유휴 상태에서 암호화해야 합니다.

• [WorkSpaces.2] WorkSpaces 루트 볼륨은 유휴 상태에서 암호화해야 합니다.

AWS GovCloud (미국 서부)

다음 컨트롤은 지원되지 않습니다. AWS GovCloud (미국 서부).

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [ACM.3] ACM 인증서에는 태그를 지정해야 합니다.

• [계정.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정

• [계정.2] AWS 계정 의 일부여야 합니다. AWS Organizations 조직

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.

• [AppSync.4] AWS AppSync APIsGraphQL에는 태그가 지정되어야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [Athena.2] Athena 데이터 카탈로그에는 태그가 지정되어야 합니다.

• [Athena.3] Athena 워크그룹은 태그가 지정되어야 합니다

• [AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.

• [AutoScaling.3] Auto Scaling 그룹 시작 구성에서는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 요구하도록 EC2 인스턴스를 구성해야 합니다.

• [AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.

• [AutoScaling.9] 아마존 EC2 오토 스케일링 그룹은 아마존 EC2 시작 템플릿을 사용해야 합니다.

• [AutoScaling.10] EC2 Auto Scaling 그룹에는 태그를 지정해야 합니다.

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [백업.2] AWS Backup 복구 지점에는 태그를 지정해야 합니다.

• [백업.3] AWS Backup 보관소에는 태그가 지정되어야 합니다.

• [백업.4] AWS Backup 보고서 계획에는 태그를 지정해야 합니다.

• [백업.5] AWS Backup 백업 계획에는 태그를 지정해야 합니다.

• [CloudFormation.2] CloudFormation 스택에는 태그를 지정해야 합니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF

• [CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS

• [CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.

• [CloudTrail.9] CloudTrail 트레일에는 태그를 지정해야 합니다.

• [CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.

• [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

• [CloudWatch.17] CloudWatch 알람 조치를 활성화해야 합니다.

• [CodeArtifact.1] CodeArtifact 저장소에는 태그를 지정해야 합니다.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [Detective.1] 탐정 행동 그래프에는 태그를 지정해야 합니다

• [DMS.2] DMS 인증서에는 태그를 지정해야 합니다.

• [DMS.3] DMS 이벤트 구독에는 태그를 지정해야 합니다.

• [DMS.4] DMS 복제 인스턴스에는 태그를 지정해야 합니다.

• [DMS.5] DMS 복제 서브넷 그룹에는 태그를 지정해야 합니다.

• [DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [DMS.7] 대상 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.8] 원본 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DocumentDB.4] Amazon DocumentDB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

• [DynamoDB.5] DynamoDB 테이블에는 태그를 지정해야 합니다.

• [DynamoDB.7] DynamoDB 액셀러레이터 클러스터는 전송 중에 암호화되어야 합니다.

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

• [EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

• [EC2.33] EC2 트랜짓 게이트웨이 첨부 파일에는 태그를 지정해야 합니다.

• [EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.35] EC2 네트워크 인터페이스에는 태그를 지정해야 합니다.

• [EC2.36] EC2 고객 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.37] EC2 엘라스틱 IP 주소에는 태그를 지정해야 합니다.

• [EC2.38] EC2 인스턴스에는 태그를 지정해야 합니다.

• [EC2.39] EC2 인터넷 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.41] EC2 네트워크에는 태그가 ACLs 지정되어야 합니다.

• [EC2.42] EC2 라우팅 테이블에는 태그를 지정해야 합니다.

• [EC2.43] EC2 보안 그룹에는 태그를 지정해야 합니다.

• [EC2.44] EC2 서브넷에는 태그를 지정해야 합니다.

• [EC2.45] EC2 볼륨에는 태그를 지정해야 합니다.

• [EC2.46] 아마존에는 태그가 VPCs 지정되어야 합니다

• [EC2.47] Amazon VPC 엔드포인트 서비스는 태그가 지정되어야 합니다.

• [EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

• [EC2.49] Amazon VPC 피어링 연결에는 태그가 지정되어야 합니다.

• [EC2.50] EC2 VPN 게이트웨이에는 태그를 지정해야 합니다.

• [EC2.52] EC2 트랜짓 게이트웨이에는 태그를 지정해야 합니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECR.4] ECR 퍼블릭 리포지토리에는 태그를 지정해야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.

• [ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행되어야 합니다.

• [ECS.5] ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다.

• [ECS.8] 시크릿은 컨테이너 환경 변수로 전달되어서는 안 된다.

• [ECS.9] ECS 작업 정의에는 로깅 구성이 있어야 합니다.

• [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.

• [ECS.12] ECS 클러스터는 컨테이너 인사이트를 사용해야 합니다.

• [ECS.13] ECS 서비스에는 태그를 지정해야 합니다.

• [ECS.14] ECS 클러스터에는 태그를 지정해야 합니다.

• [ECS.15] ECS 작업 정의에는 태그를 지정해야 합니다.

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EFS.5] EFS 액세스 포인트에는 태그를 지정해야 합니다.

• [EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [EKS.6] EKS 클러스터에는 태그를 지정해야 합니다.

• [EKS.7] EKS ID 공급자 구성에는 태그를 지정해야 합니다.

• [EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.

• [ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.16] 애플리케이션 로드 밸런서는 다음과 연결되어야 합니다. AWS WAF 웹 ACL

• [ElastiCache.1] ElastiCache (RedisOSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [ElastiCache.2] ElastiCache (RedisOSS) 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElastiCache.7] ElastiCache (RedisOSS) 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다.

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ElasticBeanstalk.3] Elastic Beanstalk는 로그를 다음으로 스트리밍해야 합니다. CloudWatch

• [EMR.2] Amazon 공개 액세스 EMR 차단 설정을 활성화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [ES.9] Elasticsearch 도메인에는 태그를 지정해야 합니다.

• [EventBridge.2] EventBridge 이벤트 버스에 태그를 지정해야 합니다.

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [FSx.1] 오픈 ZFS 파일 시스템의 FSx 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다.

• [FSx.2] Lustre의 경우 FSx 백업에 태그를 복사하도록 파일 시스템을 구성해야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [글루.1] AWS Glue 작업에는 태그를 지정해야 합니다.

• [GuardDuty.2] GuardDuty 필터는 태그를 지정해야 합니다.

• [GuardDuty.3] 에는 태그가 GuardDuty IPSets 지정되어야 합니다.

• [GuardDuty.4] GuardDuty 디텍터는 태그를 지정해야 합니다.

• [GuardDuty.8] GuardDuty 멀웨어 보호를 활성화해야 합니다. EC2

• [GuardDuty.9] GuardDuty RDS 보호 기능을 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• 루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.23] IAM 액세스 분석기는 태그를 지정해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게 태그를 지정해야 합니다.

• [IAM.28] IAM 액세스 분석기 외부 액세스 분석기를 활성화해야 합니다.

• [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

• [IoT.1] AWS IoT Device Defender 보안 프로필에는 태그를 지정해야 합니다.

• [IoT.2] AWS IoT Core 완화 조치에는 태그를 지정해야 합니다.

• [IoT.3] AWS IoT Core 치수에는 태그를 지정해야 합니다.

• [IoT.4] AWS IoT Core 승인자는 태그를 지정해야 합니다.

• [IoT.5] AWS IoT Core 역할 별칭은 태그가 지정되어야 합니다.

• [IoT.6] AWS IoT Core 정책에는 태그를 지정해야 합니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [Kinesis.2] Kinesis 스트림에는 태그가 지정되어야 합니다.

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [Lambda.6] Lambda 함수는 태그가 지정되어야 합니다.

• [Macie.1] Amazon Macie를 활성화해야 합니다

• [Macie.2] Macie의 자동 민감한 데이터 검색 기능을 활성화해야 합니다.

• [MQ.3] Amazon MQ 브로커는 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [MQ.4] Amazon MQ 브로커에는 태그를 지정해야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MSK.2] MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다.

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [Neptune.9] Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.1] Network Firewall 방화벽은 여러 가용 영역에 배포해야 합니다.

• [NetworkFirewall.2] Network Firewall 로깅을 활성화해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [NetworkFirewall.7] Network Firewall 방화벽에는 태그를 지정해야 합니다.

• [NetworkFirewall.8] Network Firewall 방화벽 정책에 태그를 지정해야 합니다.

• [NetworkFirewall.9] Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [Opensearch.9] OpenSearch 도메인에는 태그를 지정해야 합니다.

• [PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.14] Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.26] RDS DB 인스턴스는 백업 계획으로 보호되어야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [RDS.28] RDS DB 클러스터에는 태그를 지정해야 합니다.

• [RDS.29] RDS DB 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [RDS.30] RDS DB 인스턴스에는 태그를 지정해야 합니다.

• [RDS.31] RDS DB 보안 그룹에는 태그를 지정해야 합니다.

• [RDS.32] RDS DB 스냅샷에는 태그를 지정해야 합니다.

• [RDS.33] RDS DB 서브넷 그룹에는 태그를 지정해야 합니다.

• [RDS.34] Aurora SQL 내 DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.

• [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [Redshift.11] Redshift 클러스터에는 태그를 지정해야 합니다.

• [Redshift.12] Redshift 이벤트 알림 구독에는 태그를 지정해야 합니다.

• [Redshift.13] Redshift 클러스터 스냅샷에는 태그를 지정해야 합니다.

• [Redshift.14] Redshift 클러스터 서브넷 그룹에는 태그를 지정해야 합니다.

• [Route53.1] Route 53 상태 확인에는 태그를 지정해야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 쿼리를 기록해야 합니다. DNS

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

• [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다.

• [S3.12] 는 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACLs 사용해서는 안 됩니다.

• [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

• [S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

• [S3.20] S3 범용 버킷은 삭제가 활성화되어 있어야 합니다. MFA

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SES.1] SES 연락처 목록에는 태그를 지정해야 합니다.

• [SES.2] SES 구성 세트에 태그를 지정해야 합니다.

• [SecretsManager.3] 사용하지 않는 Secrets Manager 시크릿 삭제

• [SecretsManager.4] Secrets Manager 비밀은 지정된 일수 내에 교체되어야 합니다.

• [SecretsManager.5] Secrets Manager 비밀에는 태그를 지정해야 합니다.

• [SNS.3] SNS 주제에는 태그를 지정해야 합니다.

• [SQS.2] SQS 대기열에는 태그를 지정해야 합니다.

• [SSM.4] SSM 문서는 공개해서는 안 됩니다.

• [StepFunctions.1] Step Functions 상태 머신은 로깅이 켜져 있어야 합니다.

• [StepFunctions.2] Step Functions 활동에는 태그를 지정해야 합니다.

• [전송.1] AWS Transfer Family 워크플로에는 태그를 지정해야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.12] AWS WAF 규칙에는 CloudWatch 메트릭이 활성화되어 있어야 합니다.