适用于 NIST 800 181 的运营最佳实践

Conformance packs提供了通用的合规性框架，旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。

以下提供了 NIST 800 181 和AWS托管Config 规则之间的映射示例。每条 Config 规则都适用于特定AWS资源，并与一个或多个 NIST 800 181 控件相关。NIST 800 181 控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导，请参阅下表。

AWS 区域: 除了（美国东部）、AWS GovCloud （美国西部）和中东AWS GovCloud （巴林）之外的所有支持一致性包AWS 区域的地方（区域支持）

控制 ID	控件描述	AWSConfig 规则	指导
T0008	分析和规划数据容量需求的预期变化。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务调整预置的吞吐容量，自动响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取/写入容量以处理突发流量，而不进行限制。
T0008	分析和规划数据容量需求的预期变化。	dynamodb-in-backup-plan	为了帮助完成数据备份流程，请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0008	分析和规划数据容量需求的预期变化。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0008	分析和规划数据容量需求的预期变化。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0008	分析和规划数据容量需求的预期变化。	ebs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0008	分析和规划数据容量需求的预期变化。	efs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0008	分析和规划数据容量需求的预期变化。	elasticache-redis-cluster-automatic-备份检查	启用自动备份后，Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障，您可以创建一个新集群，该集群会从最新的备份中恢复数据。
T0008	分析和规划数据容量需求的预期变化。	elb-cross-zone-load-启用平衡	为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡，以帮助保持足够的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量实例的需求。它还能提高应用程序处理一个或多个实例丢失情况的能力。
T0008	分析和规划数据容量需求的预期变化。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0008	分析和规划数据容量需求的预期变化。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用区提供了增强的可用性和耐久性。当您预置多可用区数据库实例时，Amazon RDS 会自动创建主数据库实例，并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行，并且经过精心设计，具有高度的可靠性。如果基础设施出现故障，Amazon RDS 会自动故障转移到备用服务器，这样您就可以在故障转移完成后立即恢复数据库操作。
T0008	分析和规划数据容量需求的预期变化。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0008	分析和规划数据容量需求的预期变化。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动动、异步方式复制对象。
T0008	分析和规划数据容量需求的预期变化。	backup-plan-min-frequency-and-min-retention-check	为帮助完成数据AWS备份流程，请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue （Config 默认值：1）、 requiredRetentionDays（Config 默认值：35）和 requiredFrequencyUnit （Config 默认值：天）参数。实际价值应反映贵组织的需求。
T0008	分析和规划数据容量需求的预期变化。	ec2-resources-protected-by-backup-plan	要帮助完成数据备份流程，请确保Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	acm-certificate-expiration-check	通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration （AWS基础安全最佳实践值：90）。实际价值应反映贵组织的政策。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	alb-http-to-https-重定向检查	为了帮助保护传输中的数据，请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	api-gw-cache-enabled并已加密	为了帮助保护静态数据，请确保为您的 API Gateway 阶段的缓存启用了加密。由于可以捕获 API 方法的敏感数据，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	backup-plan-min-frequency-and-min-retention-check	为帮助完成数据AWS备份流程，请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue （Config 默认值：1）、 requiredRetentionDays（Config 默认值：35）和 requiredFrequencyUnit （Config 默认值：天）参数。实际价值应反映贵组织的需求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	backup-recovery-point-manual-删除已禁用	确保您的AWS Backup 恢复点附加了基于资源的策略，以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	cloud-trail-encryption-enabled	由于敏感数据可能存在，为了帮助保护静态数据，请确保为您的AWS CloudTrail跟踪启用加密。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	cloud-trail-log-file-启用验证	利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的：哈希采用 SHA-256，数字签名采用带 RSA 的 SHA-256。这样，要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	cmk-backing-key-rotation-启用	启用密钥轮换，确保密钥在加密周期结束后轮换。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	db-instance-backup-enabled	Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建有关数据库实例的存储卷快照，并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务调整预置的吞吐容量，自动响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取/写入容量以处理突发流量，而不进行限制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	ebs-in-backup-plan	为了帮助完成数据备份流程，请确保Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	ec2-ebs-encryption-by-default	为帮助保护静态数据，请确保已为 Amazon EBS（Amazon EBS）卷启用加密。由于敏感数据可能静态存在于这些卷中，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	ec2-resources-protected-by-backup-plan	要帮助完成数据备份流程，请确保Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	efs-encrypted-check	由于敏感数据可能存在并且为了帮助保护静态数据，请确保为您的 Amazon Elastic File System (EFS) 启用加密。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	efs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elasticache-redis-cluster-automatic-备份检查	启用自动备份后，Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障，您可以创建一个新集群，该集群会从最新的备份中恢复数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elasticsearch-encrypted-at-rest	由于敏感数据可能存在并且为了帮助保护静态数据，请确保对您的亚马逊 OpenSearch 服务（OpenSearch 服务）域启用加密。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elasticsearch-node-to-node-加密检查	确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密支持跨 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elbv2-acm-certificate-required	由于敏感数据可能存在并且为了帮助保护传输中的数据，请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elb-acm-certificate-required	由于敏感数据可能存在并且为了帮助保护传输中的数据，请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elb-cross-zone-load-启用平衡	为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡，以帮助保持足够的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量实例的需求。它还能提高应用程序处理一个或多个实例丢失情况的能力。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elb-deletion-protection-enabled	该规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除，这可能会导致应用程序的可用性丧失。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	elb-tls-https-listeners-仅限	确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	加密卷	由于敏感数据可能存在并帮助保护静态数据，请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	kms-cmk-not-scheduled-用于删除	为帮助保护静态数据，请确保不计划在密钥管理服务 (KMS) 中删除必要的客户主AWS密AWS钥 (CMK)。由于有时需要删除密钥，因此此规则可以帮助检查所有计划删除的密钥，以防密钥是无意中安排的。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	opensearch-encrypted-at-rest	由于敏感数据可能存在并且为了帮助保护静态数据，请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	opensearch-node-to-node-加密检查	确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密支持跨 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-instance-deletion-protection-启用	确保Amazon Relational Database Service (Amazon RDS) 实例使用删除保护来防止 Amazon RDS 实例被意外或恶意删除，这可能会导致您的应用程序失去可用性。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用区提供了增强的可用性和耐久性。当您预置多可用区数据库实例时，Amazon RDS 会自动创建主数据库实例，并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行，并且经过精心设计，具有高度的可靠性。如果基础设施出现故障，Amazon RDS 会自动故障转移到备用服务器，这样您就可以在故障转移完成后立即恢复数据库操作。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-snapshot-encrypted	确保您的Amazon Relational Database Service (Amazon RDS) 快照的加密由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	rds-storage-encrypted	为了帮助保护静态数据，请确保对您的Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	redshift-require-tls-ssl	确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动动、异步方式复制对象。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3bucket-server-side-encryption-已启用	为了帮助保护您的Amazon Simple Storage (Amazon Simple StSimple Storage Service (Amazon S3) 桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中，因此启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-bucket-ssl-requests-only	为了帮助保护传输中的数据，请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原存储桶存储的每个对象的各个版本。版本控制功能可从用户意外操作和应用程序故障中恢复数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-default-encryption-kms	确保您的Amazon Simple Storage Service (Amazon S3) 存储桶的加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	sagemaker-endpoint-configuration-kms-密钥配置	为帮助保护静态数据，请确保您的 SageMaker 终端节点启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	sagemaker-notebook-instance-kms-密钥配置	为帮助保护静态数据，请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	vpc-vpn-2-tunnelsup	可以实施冗余Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN（告警不可用），它使用两个隧道来帮助确保其中的一个站点到站点。要避免因您的客户网关而造成连接中断，您可使用第二个客户网关来为您的 Amazon 虚拟虚拟私有云 (Amazon VPC) 和虚拟私有网关设置第二个站点到站点 Amazon VPC 连接。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	api-gw-ssl-enabled	确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段，以允许后端系统对来自 API Gateway 的请求进行身份验证。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	backup-recovery-point-encrypted	确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	redshift-cluster-kms-enabled	为了帮助保护静态数据，请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中，因此启用静态加密以帮助保护这些数据。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0017	应用面向服务的安全架构原则来满足组织的机密性、完整性和可用性要求。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0024	收集和维护满足系统网络安全报告所需的数据。	cw-loggroup-retention-period-检查	确保为您的日志组保留最短持续时间的事件日志数据，以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。
T0042	与网络防御分析师协调，管理和管理专门网络防御应用程序的规则和签名（例如，入侵检测/保护系统、防病毒和内容黑名单）的更新。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表，以标识您的AWS Cloud 环境中意外的和未经授权的恶意活动。
T0047	关联事件数据以识别特定漏洞并提出可快速修复的建议。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表，以标识您的AWS Cloud 环境中意外的和未经授权的恶意活动。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	backup-recovery-point-encrypted	确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	backup-recovery-point-manual-删除已禁用	确保您的AWS Backup 恢复点附加了基于资源的策略，以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	db-instance-backup-enabled	Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建有关数据库实例的存储卷快照，并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务调整预置的吞吐容量，自动响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取/写入容量以处理突发流量，而不进行限制。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	dynamodb-in-backup-plan	为了帮助完成数据备份流程，请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	ebs-in-backup-plan	为了帮助完成数据备份流程，请确保Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	efs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	elasticache-redis-cluster-automatic-备份检查	启用自动备份后，Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障，您可以创建一个新集群，该集群会从最新的备份中恢复数据。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	elb-cross-zone-load-启用平衡	为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡，以帮助保持足够的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量实例的需求。它还能提高应用程序处理一个或多个实例丢失情况的能力。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	elb-deletion-protection-enabled	该规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除，这可能会导致应用程序的可用性丧失。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	rds-instance-deletion-protection-启用	确保Amazon Relational Database Service (Amazon RDS) 实例使用删除保护来防止 Amazon RDS 实例被意外或恶意删除，这可能会导致您的应用程序失去可用性。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用区提供了增强的可用性和耐久性。当您预置多可用区数据库实例时，Amazon RDS 会自动创建主数据库实例，并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行，并且经过精心设计，具有高度的可靠性。如果基础设施出现故障，Amazon RDS 会自动故障转移到备用服务器，这样您就可以在故障转移完成后立即恢复数据库操作。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动动、异步方式复制对象。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原存储桶存储的每个对象的各个版本。版本控制功能可从用户意外操作和应用程序故障中恢复数据。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	vpc-vpn-2-tunnelsup	可以实施冗余Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN（告警不可用），它使用两个隧道来帮助确保其中的一个站点到站点。要避免因您的客户网关而造成连接中断，您可使用第二个客户网关来为您的 Amazon 虚拟虚拟私有云 (Amazon VPC) 和虚拟私有网关设置第二个站点到站点 Amazon VPC 连接。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	backup-plan-min-frequency-and-min-retention-check	为帮助完成数据AWS备份流程，请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue （Config 默认值：1）、 requiredRetentionDays（Config 默认值：35）和 requiredFrequencyUnit （Config 默认值：天）参数。实际价值应反映贵组织的需求。
T0051	根据关键系统功能定义适当的系统可用性级别，并确保系统要求确定适当的灾难恢复和操作连续性要求，以包括任何适当的故障转移/备用站点要求、备份要求和系统恢复/恢复的材料支持性要求。	ec2-resources-protected-by-backup-plan	要帮助完成数据备份流程，请确保Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0065	制定和实施网络备份和恢复程序。	backup-plan-min-frequency-and-min-retention-check	为帮助完成数据AWS备份流程，请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue （Config 默认值：1）、 requiredRetentionDays（Config 默认值：35）和 requiredFrequencyUnit （Config 默认值：天）参数。实际价值应反映贵组织的需求。
T0065	制定和实施网络备份和恢复程序。	backup-recovery-point-encrypted	确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0065	制定和实施网络备份和恢复程序。	backup-recovery-point-manual-删除已禁用	确保您的AWS Backup 恢复点附加了基于资源的策略，以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。
T0065	制定和实施网络备份和恢复程序。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务调整预置的吞吐容量，自动响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取/写入容量以处理突发流量，而不进行限制。
T0065	制定和实施网络备份和恢复程序。	dynamodb-in-backup-plan	为了帮助完成数据备份流程，请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0065	制定和实施网络备份和恢复程序。	ebs-in-backup-plan	为了帮助完成数据备份流程，请确保Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0065	制定和实施网络备份和恢复程序。	ec2-resources-protected-by-backup-plan	要帮助完成数据备份流程，请确保Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0065	制定和实施网络备份和恢复程序。	efs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0065	制定和实施网络备份和恢复程序。	elb-cross-zone-load-启用平衡	为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡，以帮助保持足够的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量实例的需求。它还能提高应用程序处理一个或多个实例丢失情况的能力。
T0065	制定和实施网络备份和恢复程序。	elb-deletion-protection-enabled	该规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除，这可能会导致应用程序的可用性丧失。
T0065	制定和实施网络备份和恢复程序。	rds-instance-deletion-protection-启用	确保Amazon Relational Database Service (Amazon RDS) 实例使用删除保护来防止 Amazon RDS 实例被意外或恶意删除，这可能会导致您的应用程序失去可用性。
T0065	制定和实施网络备份和恢复程序。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0065	制定和实施网络备份和恢复程序。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用区提供了增强的可用性和耐久性。当您预置多可用区数据库实例时，Amazon RDS 会自动创建主数据库实例，并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行，并且经过精心设计，具有高度的可靠性。如果基础设施出现故障，Amazon RDS 会自动故障转移到备用服务器，这样您就可以在故障转移完成后立即恢复数据库操作。
T0065	制定和实施网络备份和恢复程序。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0065	制定和实施网络备份和恢复程序。	vpc-vpn-2-tunnelsup	可以实施冗余Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN（告警不可用），它使用两个隧道来帮助确保其中的一个站点到站点。要避免因您的客户网关而造成连接中断，您可使用第二个客户网关来为您的 Amazon 虚拟虚拟私有云 (Amazon VPC) 和虚拟私有网关设置第二个站点到站点 Amazon VPC 连接。
T0065	制定和实施网络备份和恢复程序。	db-instance-backup-enabled	Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建有关数据库实例的存储卷快照，并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。
T0065	制定和实施网络备份和恢复程序。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0065	制定和实施网络备份和恢复程序。	elasticache-redis-cluster-automatic-备份检查	启用自动备份后，Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障，您可以创建一个新集群，该集群会从最新的备份中恢复数据。
T0065	制定和实施网络备份和恢复程序。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0065	制定和实施网络备份和恢复程序。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动动、异步方式复制对象。
T0065	制定和实施网络备份和恢复程序。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原存储桶存储的每个对象的各个版本。版本控制功能可从用户意外操作和应用程序故障中恢复数据。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	backup-plan-min-frequency-and-min-retention-check	为帮助完成数据AWS备份流程，请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue （Config 默认值：1）、 requiredRetentionDays（Config 默认值：35）和 requiredFrequencyUnit （Config 默认值：天）参数。实际价值应反映贵组织的需求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	backup-recovery-point-encrypted	确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	backup-recovery-point-manual-删除已禁用	确保您的AWS Backup 恢复点附加了基于资源的策略，以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	dynamodb-in-backup-plan	为了帮助完成数据备份流程，请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	ebs-in-backup-plan	为了帮助完成数据备份流程，请确保Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	ec2-resources-protected-by-backup-plan	要帮助完成数据备份流程，请确保Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	efs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	elb-cross-zone-load-启用平衡	为您的弹性负载均衡器 (ELB) 启用跨区域负载均衡，以帮助保持足够的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量实例的需求。它还能提高应用程序处理一个或多个实例丢失情况的能力。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	rds-instance-deletion-protection-启用	确保Amazon Relational Database Service (Amazon RDS) 实例使用删除保护来防止 Amazon RDS 实例被意外或恶意删除，这可能会导致您的应用程序失去可用性。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	db-instance-backup-enabled	Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建有关数据库实例的存储卷快照，并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务调整预置的吞吐容量，自动响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取/写入容量以处理突发流量，而不进行限制。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	elasticache-redis-cluster-automatic-备份检查	启用自动备份后，Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障，您可以创建一个新集群，该集群会从最新的备份中恢复数据。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	elb-deletion-protection-enabled	该规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除，这可能会导致应用程序的可用性丧失。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用区提供了增强的可用性和耐久性。当您预置多可用区数据库实例时，Amazon RDS 会自动创建主数据库实例，并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行，并且经过精心设计，具有高度的可靠性。如果基础设施出现故障，Amazon RDS 会自动故障转移到备用服务器，这样您就可以在故障转移完成后立即恢复数据库操作。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动动、异步方式复制对象。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原存储桶存储的每个对象的各个版本。版本控制功能可从用户意外操作和应用程序故障中恢复数据。
T0070	为正在开发的系统制定灾难恢复和运营连续性计划，并确保在系统进入生产环境之前进行测试。	vpc-vpn-2-tunnelsup	可以实施冗余Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN（告警不可用），它使用两个隧道来帮助确保其中的一个站点到站点。要避免因您的客户网关而造成连接中断，您可使用第二个客户网关来为您的 Amazon 虚拟虚拟私有云 (Amazon VPC) 和虚拟私有网关设置第二个站点到站点 Amazon VPC 连接。
T0086	确保集成到系统设计中的商业产品的安全补丁的应用符合管理机构为预期操作环境规定的时间表。	rds-automatic-minor-version-启用升级	在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级，以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新，其中可能包括安全补丁和错误修复。
T0086	确保集成到系统设计中的商业产品的安全补丁的应用符合管理机构为预期操作环境规定的时间表。	ec2-managedinstance-patch-compliance-status-checket	启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。
T0086	确保集成到系统设计中的商业产品的安全补丁的应用符合管理机构为预期操作环境规定的时间表。	elastic-beanstalk-managed-updates-启用	为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。
T0086	确保集成到系统设计中的商业产品的安全补丁的应用符合管理机构为预期操作环境规定的时间表。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0110	识别和/或确定安全事件是否表明存在需要采取具体法律行动的违法行为。	已启用安全集线器	AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。
T0110	识别和/或确定安全事件是否表明存在需要采取具体法律行动的违法行为。	cloudwatch-alarm-action-check	如果某指标在指定数量的评估期内超出阈值，Amazon 将 CloudWatch 告警将提出。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired （Config 默认值：True）、 insufficientDataAction必需（Config 默认值：True）、 okActionRequired （Config 默认值：False）的值。实际值应反映您环境的警报操作。
T0110	识别和/或确定安全事件是否表明存在需要采取具体法律行动的违法行为。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意 IP 和机器学习列表，以标识您的AWS Cloud 环境中意外的和未经授权的恶意活动。
T0128	在可行的情况下集成自动更新或修补系统软件的功能，并根据系统操作环境当前和预计的补丁时间表要求，制定手动更新和修补系统软件的流程和程序。	rds-automatic-minor-version-启用升级	在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级，以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新，其中可能包括安全补丁和错误修复。
T0128	在可行的情况下集成自动更新或修补系统软件的功能，并根据系统操作环境当前和预计的补丁时间表要求，制定手动更新和修补系统软件的流程和程序。	ec2-managedinstance-patch-compliance-status-checket	启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。
T0128	在可行的情况下集成自动更新或修补系统软件的功能，并根据系统操作环境当前和预计的补丁时间表要求，制定手动更新和修补系统软件的流程和程序。	elastic-beanstalk-managed-updates-启用	为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。
T0128	在可行的情况下集成自动更新或修补系统软件的功能，并根据系统操作环境当前和预计的补丁时间表要求，制定手动更新和修补系统软件的流程和程序。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	account-part-of-organizations	OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致，这可能会暴露资源和敏感数据。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	alb-waf-enabled	确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响您的环境中的可用性、损害安全性或消耗过多的资源。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	api-gw-associated-with-waf	AWS通过 WAF，您可以配置一组规则（称为 Web 访问控制列表，即 Web ACL），基于可自定义的 Web 安全规则以及您定义的条件，允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联，以保护其免受恶意攻击
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	ec2-instance-profile-attached	EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	ecs-task-definition-user-for-host-mode-check	如果任务定义具有更高的权限，那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时，此控件会检查是否存在意外权限升级。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	restricted-sh	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选，帮助管理网络访问。不允许从 0.0.0/0 到端口 22 的入口（或远程）流量。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	ec2-instances-in-vpc	通过在 Amazon 虚拟私有云（Amazon VPC）中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例，而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	no-unrestricted-route-to-igw	确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	redshift-enhanced-vpc-routing-启用	增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	vpc-default-security-group-已关闭	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行有状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	vpc-sg-open-only-to-authorized-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 访问安全组内的资源 (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	access-keys-rotated	通过确保 IAM 访问密钥按照组织政策轮换，对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间，减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	elasticsearch-in-vpc-only	通过确保AmazonAWS Service（ OpenSearch OpenSearch 服务）域位于Amazon Virtual Private Cloud (Amazon VPC) 中管理对云的访问。通过在 Amazon VPC 中的 OpenSearch OpenSearch 服务域，您可以在 Service 和 Amazon VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-user-mfa-enabled	启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数，以标识您 Amazon VPC irtual Private 使用此配置，不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限，应AWS将 Lambda 函数分配给 VPC。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	opensearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	sagemaker-notebook-no-direct-互联网接入	通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网，管理对AWS云端资源的访问权限。通过防止直接访问互联网，您可以防止未经授权的用户访问敏感数据。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	secretsmanager-rotation-enabled-check	此规则可确保 SSAWS ecrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的活跃时间，并有可能减少机密泄露后对业务的影响。
T0144	管理帐户、网络权限以及对系统和设备的访问权限。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0151	监控和评估企业网络安全保护措施的有效性，以确保它们提供预期的保护级别。	已启用安全集线器	AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。
T0151	监控和评估企业网络安全保护措施的有效性，以确保它们提供预期的保护级别。	cloudwatch-alarm-action-check	如果某指标在指定数量的评估期内超出阈值，Amazon 将 CloudWatch 告警将提出。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired （Config 默认值：True）、 insufficientDataAction必需（Config 默认值：True）、 okActionRequired （Config 默认值：False）的值。实际值应反映您环境的警报操作。
T0151	监控和评估企业网络安全保护措施的有效性，以确保它们提供预期的保护级别。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0152	监控和维护数据库以确保最佳性能。	db-instance-backup-enabled	Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建有关数据库实例的存储卷快照，并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。
T0152	监控和维护数据库以确保最佳性能。	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling 使用AppAWS lication Auto Scaling 服务调整预置的吞吐容量，自动响应实际的流量模式。这将允许表或全局二级索引增大其预置的读取/写入容量以处理突发流量，而不进行限制。
T0152	监控和维护数据库以确保最佳性能。	dynamodb-in-backup-plan	为了帮助完成数据备份流程，请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0152	监控和维护数据库以确保最佳性能。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0152	监控和维护数据库以确保最佳性能。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0152	监控和维护数据库以确保最佳性能。	rds-automatic-minor-version-启用升级	在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级，以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新，其中可能包括安全补丁和错误修复。
T0152	监控和维护数据库以确保最佳性能。	rds-enhanced-monitoring-enabled	启用 Amazon Relational Database Service (Amazon RDS) 以帮助这样可以详细了解您的 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时，增强监控会收集每台设备的数据。此外，当 Amazon RDS 数据库实例在多可用区部署中运行时，将收集辅助主机上每台设备的数据和辅助主机指标。
T0152	监控和维护数据库以确保最佳性能。	rds-instance-deletion-protection-启用	确保Amazon Relational Database Service (Amazon RDS) 实例使用删除保护来防止 Amazon RDS 实例被意外或恶意删除，这可能会导致您的应用程序失去可用性。
T0152	监控和维护数据库以确保最佳性能。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0152	监控和维护数据库以确保最佳性能。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0152	监控和维护数据库以确保最佳性能。	rds-logging-enabled	为了帮助在您的环境中进行记录和监控，请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录通过 Amazon RDS 日志记录，您可以捕获连接、断开连接、查询或查询表等事件。
T0152	监控和维护数据库以确保最佳性能。	rds-multi-az-support	Amazon Relational Database Service (Amazon RDS) 中的多可用区提供了增强的可用性和耐久性。当您预置多可用区数据库实例时，Amazon RDS 会自动创建主数据库实例，并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身物理上独立、独立的基础设施上运行，并且经过精心设计，具有高度的可靠性。如果基础设施出现故障，Amazon RDS 会自动故障转移到备用服务器，这样您就可以在故障转移完成后立即恢复数据库操作。
T0152	监控和维护数据库以确保最佳性能。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0152	监控和维护数据库以确保最佳性能。	rds-snapshot-encrypted	确保您的Amazon Relational Database Service (Amazon RDS) 快照的加密由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0152	监控和维护数据库以确保最佳性能。	rds-storage-encrypted	为了帮助保护静态数据，请确保对您的Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中，因此启用静态加密以帮助保护这些数据。
T0152	监控和维护数据库以确保最佳性能。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0152	监控和维护数据库以确保最佳性能。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0152	监控和维护数据库以确保最佳性能。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0152	监控和维护数据库以确保最佳性能。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0152	监控和维护数据库以确保最佳性能。	redshift-enhanced-vpc-routing-启用	增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。
T0152	监控和维护数据库以确保最佳性能。	redshift-require-tls-ssl	确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0152	监控和维护数据库以确保最佳性能。	redshift-cluster-kms-enabled	为了帮助保护静态数据，请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中，因此启用静态加密以帮助保护这些数据。
T0153	监控网络容量和性能。	autoscaling-group-elb-healthcheck-必填项	Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Scaling 组的运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或者发送请求来测试 Amazon EC2 实例运行状况来测试 Amazon EC2 实例运行状况或者发送请求来测试。如果实例未报告，则流量将发送到新的 Amazon EC2 实例。
T0153	监控网络容量和性能。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0153	监控网络容量和性能。	vpc-flow-logs-enabled	VPC 流日志提供有关传入和传出您的的 Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下，流的不同组件的值，包括源、目标和协议。
T0153	监控网络容量和性能。	vpc-vpn-2-tunnelsup	可以实施冗余Site-to-Site VPN 隧道以实现弹性要求。如果其中一个站点到站点 VPN（告警不可用），它使用两个隧道来帮助确保其中的一个站点到站点。要避免因您的客户网关而造成连接中断，您可使用第二个客户网关来为您的 Amazon 虚拟虚拟私有云 (Amazon VPC) 和虚拟私有网关设置第二个站点到站点 Amazon VPC 连接。
T0154	监控和报告知识管理资产和资源的使用情况。	cw-loggroup-retention-period-检查	确保为您的日志组保留最短持续时间的事件日志数据，以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。
T0154	监控和报告知识管理资产和资源的使用情况。	elasticsearch-logs-to-cloudwatch	确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计，并可以帮助诊断可用性问题。
T0154	监控和报告知识管理资产和资源的使用情况。	lambda-concurrency-check	此规则确保建立 Lambda 函数的并发上限和下限。这能够帮助确定您的函数在任何给定时间所服务的请求的数量的基准。
T0154	监控和报告知识管理资产和资源的使用情况。	lambda-dlq-check	启用此规则可以帮助在功能失败时通过 Amazon Simple Queue Service (Amazon SQS) 或Amazon Simple Notion Service (Amazon SNS) 或Amazon S
T0154	监控和报告知识管理资产和资源的使用情况。	multi-region-cloudtrail-enabled	AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户以及从中发出时间AWS、从中发出时间、从中发出。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED，则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外，当AWS启动新区域时， CloudTrail 将在新区域中创建相同的路径。因此，您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。
T0154	监控和报告知识管理资产和资源的使用情况。	rds-enhanced-monitoring-enabled	启用 Amazon Relational Database Service (Amazon RDS) 以帮助这样可以详细了解您的 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时，增强监控会收集每台设备的数据。此外，当 Amazon RDS 数据库实例在多可用区部署中运行时，将收集辅助主机上每台设备的数据和辅助主机指标。
T0154	监控和报告知识管理资产和资源的使用情况。	rds-logging-enabled	为了帮助在您的环境中进行记录和监控，请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录通过 Amazon RDS 日志记录，您可以捕获连接、断开连接、查询或查询表等事件。
T0154	监控和报告知识管理资产和资源的使用情况。	已启用安全集线器	AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。
T0154	监控和报告知识管理资产和资源的使用情况。	启用 wafv2 日志记录	为了帮助在您的环境中进行日志记录和监控，请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的的AWS资源收到请求的时间，有关请求的信息，以及每个请求所匹配的规则的操作。
T0154	监控和报告知识管理资产和资源的使用情况。	api-gw-execution-logging-启用	API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。
T0154	监控和报告知识管理资产和资源的使用情况。	autoscaling-group-elb-healthcheck-必填项	Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Scaling 组的运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或者发送请求来测试 Amazon EC2 实例运行状况来测试 Amazon EC2 实例运行状况或者发送请求来测试。如果实例未报告，则流量将发送到新的 Amazon EC2 实例。
T0154	监控和报告知识管理资产和资源的使用情况。	beanstalk-enhanced-health-reporting-启用	AWSElastic Beanstalk 增强型运行状况报告可以更快地响应底层基础设施运行状况的变化。这些更改可能导致应用程序缺乏可用性。Elastic Beanstalk 增强型运行状况报告提供了状态描述符，用于评估已发现问题的严重程度并确定可能的调查原因。
T0154	监控和报告知识管理资产和资源的使用情况。	cloud-trail-cloud-watch-启用日志	CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。
T0154	监控和报告知识管理资产和资源的使用情况。	已启用云端追踪	AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。
T0154	监控和报告知识管理资产和资源的使用情况。	cloudtrail-s3 数据事件已启用	ServSimple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。
T0154	监控和报告知识管理资产和资源的使用情况。	cloudwatch-alarm-action-check	如果某指标在指定数量的评估期内超出阈值，Amazon 将 CloudWatch 告警将提出。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired （Config 默认值：True）、 insufficientDataAction必需（Config 默认值：True）、 okActionRequired （Config 默认值：False）的值。实际值应反映您环境的警报操作。
T0154	监控和报告知识管理资产和资源的使用情况。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0154	监控和报告知识管理资产和资源的使用情况。	ec2-instance-detailed-monitoring-enabled	启用此规则可帮助在 Amazon EC2 控制台上改善Amazon Elastic Compute Cloud (Amazon EC2) 实例的实例监控图表。
T0154	监控和报告知识管理资产和资源的使用情况。	elb-logging-enabled	Elastic Load Balancing 活动是环境中的中心通信点。确保已启用了 ELB 日志记录。收集的数据可提供有关发送给 ELB 的请求的详细信息。每个日志都包含信息 (例如，收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
T0154	监控和报告知识管理资产和资源的使用情况。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0154	监控和报告知识管理资产和资源的使用情况。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0154	监控和报告知识管理资产和资源的使用情况。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 服务器访问记录提供了一种监控，提供了一种监控网络安全事件的方法。通过捕获有关记录详细地记录对 Amazon S3 桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细包括请求操作、响应状态和错误代码（如果相关）。
T0154	监控和报告知识管理资产和资源的使用情况。	vpc-flow-logs-enabled	VPC 流日志提供有关传入和传出您的的 Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下，流的不同组件的值，包括源、目标和协议。
T0156	监督配置管理并提出建议。	account-part-of-organizations	OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致，这可能会暴露资源和敏感数据。
T0156	监督配置管理并提出建议。	ec2-instance-managed-by-systems-管理器	通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。
T0156	监督配置管理并提出建议。	ec2-managedinstance-association-compliance-status-checket	使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态，并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。
T0156	监督配置管理并提出建议。	ec2-managedinstance-patch-compliance-status-checket	启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。
T0156	监督配置管理并提出建议。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0156	监督配置管理并提出建议。	elastic-beanstalk-managed-updates-启用	为 Amazon Elastic Beanstalk 环境启用托管平台更新可确保安装该环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳做法。
T0156	监督配置管理并提出建议。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0156	监督配置管理并提出建议。	vpc-default-security-group-已关闭	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行有状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。
T0156	监督配置管理并提出建议。	vpc-sg-open-only-to-authorized-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 访问安全组内的资源 (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
T0160	修补网络漏洞，确保信息免受外部侵害。	rds-automatic-minor-version-启用升级	在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级，以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新，其中可能包括安全补丁和错误修复。
T0160	修补网络漏洞，确保信息免受外部侵害。	ec2-managedinstance-association-compliance-status-checket	使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态，并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。
T0160	修补网络漏洞，确保信息免受外部侵害。	ec2-managedinstance-patch-compliance-status-checket	启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	dynamodb-in-backup-plan	为了帮助完成数据备份流程，请确保您的 Amazon DynamoDB 表是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	ebs-in-backup-plan	为了帮助完成数据备份流程，请确保Amazon Elastic Block Store (Amazon EBS) 卷是BacAWS kup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	efs-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Elastic File System (Amazon EFS) 文件系统是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	rds-in-backup-plan	为了帮助完成数据备份流程，请确保您的Amazon Relational Database Service (Amazon RDS) 实例是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	redshift-backup-enabled	为了帮助完成数据备份流程，请确保您的 Amazon Redshift 集群有自动快照。当某个集群的自动快照处于启用状态时，Redshift 会定期拍摄该集群的快照。默认情况下，Redshift 每 8 小时或在每节点数据更改达到 5 GB 时拍摄一次快照，以先到者为准。
T0162	执行数据库的备份和恢复以确保数据完整性。	backup-plan-min-frequency-and-min-retention-check	为帮助完成数据AWS备份流程，请确保将Backup 计划设置为最低频率和保留时间。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue （Config 默认值：1）、 requiredRetentionDays（Config 默认值：35）和 requiredFrequencyUnit （Config 默认值：天）参数。实际价值应反映贵组织的需求。
T0162	执行数据库的备份和恢复以确保数据完整性。	backup-recovery-point-encrypted	确保您的AWS Backup 恢复点已启用加密。由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0162	执行数据库的备份和恢复以确保数据完整性。	backup-recovery-point-manual-删除已禁用	确保您的AWS Backup 恢复点附加了基于资源的策略，以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。
T0162	执行数据库的备份和恢复以确保数据完整性。	db-instance-backup-enabled	Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 自动创建有关数据库实例的存储卷快照，并备份整个数据库实例的存储卷快照。该系统允许您设置特定的保留期以满足您的弹性要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	dynamodb-pitr-enabled	启用此规则以检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用 point-in-time 恢复来维护备份。恢复操作会保持表在过去 35 天内的连续备份。
T0162	执行数据库的备份和恢复以确保数据完整性。	ec2-resources-protected-by-backup-plan	要帮助完成数据备份流程，请确保Amazon Elastic Compute Cloud (Amazon EC2) 资源是AWS Backup 计划的一部分。 AWSBackup 是一项完全托管的备份服务，具有基于策略的备份解决方案。该解决方案简化了您的备份管理，使您能够满足业务和监管备份合规性要求。
T0162	执行数据库的备份和恢复以确保数据完整性。	elasticache-redis-cluster-automatic-备份检查	启用自动备份后，Amazon ElastiCache 会每天为集群创建一个备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障，您可以创建一个新集群，该集群会从最新的备份中恢复数据。
T0162	执行数据库的备份和恢复以确保数据完整性。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0162	执行数据库的备份和恢复以确保数据完整性。	s3-bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) 支持维持足够的容量和可用性。CRR 支持跨 Amazon S3 存储桶自动动、异步方式复制对象。
T0162	执行数据库的备份和恢复以确保数据完整性。	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原存储桶存储的每个对象的各个版本。版本控制功能可从用户意外操作和应用程序故障中恢复数据。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	cw-loggroup-retention-period-检查	确保为您的日志组保留最短持续时间的事件日志数据，以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	elasticsearch-logs-to-cloudwatch	确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计，并可以帮助诊断可用性问题。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	multi-region-cloudtrail-enabled	AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户以及从中发出时间AWS、从中发出时间、从中发出。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED，则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外，当AWS启动新区域时， CloudTrail 将在新区域中创建相同的路径。因此，您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	启用 wafv2 日志记录	为了帮助在您的环境中进行日志记录和监控，请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的的AWS资源收到请求的时间，有关请求的信息，以及每个请求所匹配的规则的操作。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	api-gw-execution-logging-启用	API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	cloud-trail-cloud-watch-启用日志	CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	已启用云端追踪	AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	cloudtrail-s3 数据事件已启用	ServSimple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	elb-logging-enabled	Elastic Load Balancing 活动是环境中的中心通信点。确保已启用了 ELB 日志记录。收集的数据可提供有关发送给 ELB 的请求的详细信息。每个日志都包含信息 (例如，收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	rds-logging-enabled	为了帮助在您的环境中进行记录和监控，请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录通过 Amazon RDS 日志记录，您可以捕获连接、断开连接、查询或查询表等事件。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 服务器访问记录提供了一种监控，提供了一种监控网络安全事件的方法。通过捕获有关记录详细地记录对 Amazon S3 桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细包括请求操作、响应状态和错误代码（如果相关）。
T0166	使用从企业内部各种来源收集的信息进行事件关联，以获得态势感知并确定观察到的攻击的有效性。	vpc-flow-logs-enabled	VPC 流日志提供有关传入和传出您的的 Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下，流的不同组件的值，包括源、目标和协议。
T0168	对已建立的数据库进行哈希比较。	cloud-trail-log-file-启用验证	利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的：哈希采用 SHA-256，数字签名采用带 RSA 的 SHA-256。这样，要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	alb-waf-enabled	确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响您的环境中的可用性、损害安全性或消耗过多的资源。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	api-gw-associated-with-waf	AWS通过 WAF，您可以配置一组规则（称为 Web 访问控制列表，即 Web ACL），基于可自定义的 Web 安全规则以及您定义的条件，允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联，以保护其免受恶意攻击
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	restricted-sh	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选，帮助管理网络访问。不允许从 0.0.0/0 到端口 22 的入口（或远程）流量。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	ec2-instances-in-vpc	通过在 Amazon 虚拟私有云（Amazon VPC）中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例，而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	no-unrestricted-route-to-igw	确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	redshift-enhanced-vpc-routing-启用	增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	elasticsearch-in-vpc-only	通过确保AmazonAWS Service（ OpenSearch OpenSearch 服务）域位于Amazon Virtual Private Cloud (Amazon VPC) 中管理对云的访问。通过在 Amazon VPC 中的 OpenSearch OpenSearch 服务域，您可以在 Service 和 Amazon VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数，以标识您 Amazon VPC irtual Private 使用此配置，不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限，应AWS将 Lambda 函数分配给 VPC。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	opensearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	sagemaker-notebook-no-direct-互联网接入	通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网，管理对AWS云端资源的访问权限。通过防止直接访问互联网，您可以防止未经授权的用户访问敏感数据。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	vpc-default-security-group-已关闭	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行有状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。
T0195	根据任务要求（通过网络门户或其他方式）提供有管理的相关信息流。	vpc-sg-open-only-to-authorized-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 访问安全组内的资源 (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
T0215	识别可能存在的安全违规行为，并根据需要采取适当措施举报该事件。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0244	验证应用程序软件/网络/系统安全态势是否按规定实施，记录偏差，并建议纠正这些偏差所需的措施。	cloud-trail-log-file-启用验证	利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的：哈希采用 SHA-256，数字签名采用带 RSA 的 SHA-256。这样，要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
T0244	验证应用程序软件/网络/系统安全态势是否按规定实施，记录偏差，并建议纠正这些偏差所需的措施。	ec2-instance-managed-by-systems-管理器	通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。
T0244	验证应用程序软件/网络/系统安全态势是否按规定实施，记录偏差，并建议纠正这些偏差所需的措施。	ec2-managedinstance-association-compliance-status-checket	使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态，并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。
T0258	及时检测、识别和警报可能的攻击/入侵、异常活动和滥用活动，并将这些事件和事件与良性活动区分开来。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0259	使用网络防御工具持续监控和分析系统活动，以识别恶意活动。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	alb-waf-enabled	确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响您的环境中的可用性、损害安全性或消耗过多的资源。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	api-gw-associated-with-waf	AWS通过 WAF，您可以配置一组规则（称为 Web 访问控制列表，即 Web ACL），基于可自定义的 Web 安全规则以及您定义的条件，允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联，以保护其免受恶意攻击
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	ec2-instances-in-vpc	通过在 Amazon 虚拟私有云（Amazon VPC）中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例，而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	no-unrestricted-route-to-igw	确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	redshift-enhanced-vpc-routing-启用	增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	elasticsearch-in-vpc-only	通过确保AmazonAWS Service（ OpenSearch OpenSearch 服务）域位于Amazon Virtual Private Cloud (Amazon VPC) 中管理对云的访问。通过在 Amazon VPC 中的 OpenSearch OpenSearch 服务域，您可以在 Service 和 Amazon VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数，以标识您 Amazon VPC irtual Private 使用此配置，不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限，应AWS将 Lambda 函数分配给 VPC。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	opensearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	sagemaker-notebook-no-direct-互联网接入	通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网，管理对AWS云端资源的访问权限。通过防止直接访问互联网，您可以防止未经授权的用户访问敏感数据。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	vpc-default-security-group-已关闭	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行有状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。
T0262	采用经批准 defense-in-depth 的原则和实践（例如， defense-in-multiple 地点、分层防御、安全稳健性）。	vpc-sg-open-only-to-authorized-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 访问安全组内的资源 (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
T0284	设计和开发与网络安全相关的新工具/技术。	account-part-of-organizations	OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致，这可能会暴露资源和敏感数据。
T0284	设计和开发与网络安全相关的新工具/技术。	alb-waf-enabled	确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响您的环境中的可用性、损害安全性或消耗过多的资源。
T0284	设计和开发与网络安全相关的新工具/技术。	api-gw-associated-with-waf	AWS通过 WAF，您可以配置一组规则（称为 Web 访问控制列表，即 Web ACL），基于可自定义的 Web 安全规则以及您定义的条件，允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联，以保护其免受恶意攻击
T0284	设计和开发与网络安全相关的新工具/技术。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0284	设计和开发与网络安全相关的新工具/技术。	ec2-instance-profile-attached	EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。
T0284	设计和开发与网络安全相关的新工具/技术。	ecs-task-definition-user-for-host-mode-check	如果任务定义具有更高的权限，那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时，此控件会检查是否存在意外权限升级。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0284	设计和开发与网络安全相关的新工具/技术。	ec2-instances-in-vpc	通过在 Amazon 虚拟私有云（Amazon VPC）中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例，而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。
T0284	设计和开发与网络安全相关的新工具/技术。	no-unrestricted-route-to-igw	确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。
T0284	设计和开发与网络安全相关的新工具/技术。	rds-automatic-minor-version-启用升级	在您的 Amazon Relational Database Service (RDS) 实例上启用自动次要版本升级，以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新，其中可能包括安全补丁和错误修复。
T0284	设计和开发与网络安全相关的新工具/技术。	redshift-enhanced-vpc-routing-启用	增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。
T0284	设计和开发与网络安全相关的新工具/技术。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0284	设计和开发与网络安全相关的新工具/技术。	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0284	设计和开发与网络安全相关的新工具/技术。	backup-recovery-point-manual-删除已禁用	确保您的AWS Backup 恢复点附加了基于资源的策略，以防止删除恢复点。使用基于资源的策略来防止删除恢复点有助于防止意外或故意删除。
T0284	设计和开发与网络安全相关的新工具/技术。	cloud-trail-log-file-启用验证	利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的：哈希采用 SHA-256，数字签名采用带 RSA 的 SHA-256。这样，要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
T0284	设计和开发与网络安全相关的新工具/技术。	codebuild-project-envvar-awscred-检查	确保身份验证凭证 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 在AWS Codebuild 项目环境中不存在。不要将这些变量存储在明文中。以明文形式存储这些变量会导致意外的数据泄露和未经授权的访问。
T0284	设计和开发与网络安全相关的新工具/技术。	codebuild-project-source-repo-网址检查	确保 GitHub 或 Bitbucket 源存储库网址不包含AWS Codebuild 项目环境中的个人访问令牌和登录凭证。使用 OAuth 代替个人访问令牌或登录凭证来授予访问 GitHub 或 Bitbucket 存储库的授权。
T0284	设计和开发与网络安全相关的新工具/技术。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	elasticsearch-in-vpc-only	通过确保AmazonAWS Service（ OpenSearch OpenSearch 服务）域位于Amazon Virtual Private Cloud (Amazon VPC) 中管理对云的访问。通过在 Amazon VPC 中的 OpenSearch OpenSearch 服务域，您可以在 Service 和 Amazon VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0284	设计和开发与网络安全相关的新工具/技术。	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0284	设计和开发与网络安全相关的新工具/技术。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0284	设计和开发与网络安全相关的新工具/技术。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-password-policy	身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters （AWS基础安全最佳实践值：true）、 RequireLowercaseCharacters （AWS基础安全最佳实践值：true）、 RequireSymbols （AWS基础安全最佳实践值：true）、 RequireNumbers （AWS基础安全最佳实践值：true）、 MinimumPasswordLength （AWS基础安全最佳实践值：14）、 PasswordReusePrevention（AWS基础安全最佳实践值：24）和 MaxPasswordAge（AWS基础安全最佳实践值：90）IAM 密码策略。实际值应反映贵组织的政策。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-user-mfa-enabled	启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0284	设计和开发与网络安全相关的新工具/技术。	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0284	设计和开发与网络安全相关的新工具/技术。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0284	设计和开发与网络安全相关的新工具/技术。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数，以标识您 Amazon VPC irtual Private 使用此配置，不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限，应AWS将 Lambda 函数分配给 VPC。
T0284	设计和开发与网络安全相关的新工具/技术。	mfa-enabled-for-iam-控制台访问权限	通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA，您可以减少账户被盗事件，并防止未经授权的用户访问敏感数据。
T0284	设计和开发与网络安全相关的新工具/技术。	opensearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0284	设计和开发与网络安全相关的新工具/技术。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	redshift-cluster-maintenancesettings-check	此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言，他们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade. 默认值为 true。它还允许您选择设置 preferredMaintenanceWindow （默认值为星期六：16:00-sat：16:30）和 automatedSnapshotRetention时段（默认值为 1）。实际值应反映贵组织的政策。
T0284	设计和开发与网络安全相关的新工具/技术。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0284	设计和开发与网络安全相关的新工具/技术。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0284	设计和开发与网络安全相关的新工具/技术。	root-account-hardware-mfa-启用	通过确保为根用户启用硬件 MFA，管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。
T0284	设计和开发与网络安全相关的新工具/技术。	root-account-mfa-enabled	通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。
T0284	设计和开发与网络安全相关的新工具/技术。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0284	设计和开发与网络安全相关的新工具/技术。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0284	设计和开发与网络安全相关的新工具/技术。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0284	设计和开发与网络安全相关的新工具/技术。	sagemaker-notebook-no-direct-互联网接入	通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网，管理对AWS云端资源的访问权限。通过防止直接访问互联网，您可以防止未经授权的用户访问敏感数据。
T0284	设计和开发与网络安全相关的新工具/技术。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0284	设计和开发与网络安全相关的新工具/技术。	vpc-default-security-group-已关闭	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行有状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。
T0284	设计和开发与网络安全相关的新工具/技术。	vpc-sg-open-only-to-authorized-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 访问安全组内的资源 (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
T0306	支持数据库和数据管理系统的事件管理、服务级别管理、变更管理、版本管理、连续性管理以及可用性管理。	已启用安全集线器	AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。
T0306	支持数据库和数据管理系统的事件管理、服务级别管理、变更管理、版本管理、连续性管理以及可用性管理。	cloudwatch-alarm-action-check	如果某指标在指定数量的评估期内超出阈值，Amazon 将 CloudWatch 告警将提出。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired （Config 默认值：True）、 insufficientDataAction必需（Config 默认值：True）、 okActionRequired （Config 默认值：False）的值。实际值应反映您环境的警报操作。
T0306	支持数据库和数据管理系统的事件管理、服务级别管理、变更管理、版本管理、连续性管理以及可用性管理。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0314	制定系统安全背景、初步的系统安全运营概念 (CONOPS)，并根据适用的网络安全要求定义基准系统安全要求。	ec2-instance-managed-by-systems-管理器	通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。
T0314	制定系统安全背景、初步的系统安全运营概念 (CONOPS)，并根据适用的网络安全要求定义基准系统安全要求。	ec2-managedinstance-association-compliance-status-checket	使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态，并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。
T0314	制定系统安全背景、初步的系统安全运营概念 (CONOPS)，并根据适用的网络安全要求定义基准系统安全要求。	ec2 停止的实例	启用此规则可根据贵组织的标准检查 Amazon EC2 实例的停止天数是否超过允许的天数，从而帮助完成 Amazon Elastic Compute Cloud (Amazon EC2) 实例的基准配置。
T0314	制定系统安全背景、初步的系统安全运营概念 (CONOPS)，并根据适用的网络安全要求定义基准系统安全要求。	ec2-volume-inuse-check	此规则可确保在实例终止时将附加到Amazon Elastic Compute Cloud (Amazon EC2) 实例的卷标记为间隔显示实例的删除。如果 Amazon EBS 卷在其所连接的实例终止时未将其删除，则可能违反功能最少的概念。
T0314	制定系统安全背景、初步的系统安全运营概念 (CONOPS)，并根据适用的网络安全要求定义基准系统安全要求。	elb-deletion-protection-enabled	该规则可确保Elastic Load Balancing 已启用删除保护。使用此功能可以防止您的负载均衡器被意外或恶意删除，这可能会导致应用程序的可用性丧失。
T0314	制定系统安全背景、初步的系统安全运营概念 (CONOPS)，并根据适用的网络安全要求定义基准系统安全要求。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0333	进行网络防御趋势分析和报告。	已启用安全集线器	AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。
T0333	进行网络防御趋势分析和报告。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0347	评估源数据和后续发现的有效性。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0358	为特权访问用户设计和开发系统管理和管理功能。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	ec2-instance-profile-attached	EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	ecs-task-definition-user-for-host-mode-check	如果任务定义具有更高的权限，那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时，此控件会检查是否存在意外权限升级。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	elasticsearch-logs-to-cloudwatch	确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计，并可以帮助诊断可用性问题。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	multi-region-cloudtrail-enabled	AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户以及从中发出时间AWS、从中发出时间、从中发出。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED，则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外，当AWS启动新区域时， CloudTrail 将在新区域中创建相同的路径。因此，您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	rds-logging-enabled	为了帮助在您的环境中进行记录和监控，请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录通过 Amazon RDS 日志记录，您可以捕获连接、断开连接、查询或查询表等事件。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	cloud-trail-cloud-watch-启用日志	CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	已启用云端追踪	AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	cloudtrail-s3 数据事件已启用	ServSimple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 服务器访问记录提供了一种监控，提供了一种监控网络安全事件的方法。通过捕获有关记录详细地记录对 Amazon S3 桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细包括请求操作、响应状态和错误代码（如果相关）。
T0376	根据组织要求制定、资源、实施和评估网络劳动力管理计划。	vpc-flow-logs-enabled	VPC 流日志提供有关传入和传出您的的 Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下，流的不同组件的值，包括源、目标和协议。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	acm-certificate-expiration-check	通过确保AWS ACM 颁发 X509 证书来确保网络完整性。这些证书必须有效且未过期。此规则要求的值为 daysToExpiration （AWS基础安全最佳实践值：90）。实际价值应反映贵组织的政策。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	alb-http-to-https-重定向检查	为了帮助保护传输中的数据，请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	elasticsearch-node-to-node-加密检查	确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密支持跨 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	elbv2-acm-certificate-required	由于敏感数据可能存在并且为了帮助保护传输中的数据，请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	elb-acm-certificate-required	由于敏感数据可能存在并且为了帮助保护传输中的数据，请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	elb-tls-https-listeners-仅限	确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	opensearch-node-to-node-加密检查	确保启用亚马逊 OpenSearch服务的 node-to-node 加密。Node-to-node 加密支持跨 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	redshift-require-tls-ssl	确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	s3-bucket-ssl-requests-only	为了帮助保护传输中的数据，请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0416	通过利用现有的公钥基础架构 (PKI) 库并在适当时整合证书管理和加密功能，为应用程序启用公共密钥。	api-gw-ssl-enabled	确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段，以允许后端系统对来自 API 网关的请求进行身份验证。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的方法。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0421	管理明确的组织知识（例如硬拷贝文档、数字文件）的索引/编目、存储和访问。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	ec2-instance-profile-attached	EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	ecs-task-definition-user-for-host-mode-check	如果任务定义具有更高的权限，那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时，此控件会检查是否存在意外权限升级。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	ec2-instances-in-vpc	通过在 Amazon 虚拟私有云（Amazon VPC）中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例，而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	elasticsearch-in-vpc-only	通过确保AmazonAWS Service（ OpenSearch OpenSearch 服务）域位于Amazon Virtual Private Cloud (Amazon VPC) 中管理对云的访问。通过在 Amazon VPC 中的 OpenSearch OpenSearch 服务域，您可以在 Service 和 Amazon VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的手段。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数，以标识您 Amazon VPC irtual Private 使用此配置，不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限，应AWS将 Lambda 函数分配给 VPC。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	opensearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	sagemaker-notebook-no-direct-互联网接入	通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网，管理对AWS云端资源的访问权限。通过防止直接访问互联网，您可以防止未经授权的用户访问敏感数据。
T0475	根据最小权限原则评估适当的访问控制和 need-to-know.	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	elasticsearch-logs-to-cloudwatch	确保 Amazon Serv OpenSearch ice 域已启用错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计，并可以帮助诊断可用性问题。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	multi-region-cloudtrail-enabled	AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户以及从中发出时间AWS、从中发出时间、从中发出。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED，则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外，当AWS启动新区域时， CloudTrail 将在新区域中创建相同的路径。因此，您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	启用 wafv2 日志记录	为了帮助在您的环境中进行日志记录和监控，请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的的AWS资源收到请求的时间，有关请求的信息，以及每个请求所匹配的规则的操作。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	api-gw-execution-logging-启用	API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	cloud-trail-cloud-watch-启用日志	CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	已启用云端追踪	AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	cloudtrail-s3 数据事件已启用	ServSimple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	elb-logging-enabled	Elastic Load Balancing 活动是环境中的中心通信点。确保已启用了 ELB 日志记录。收集的数据可提供有关发送给 ELB 的请求的详细信息。每个日志都包含信息 (例如，收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	rds-logging-enabled	为了帮助在您的环境中进行记录和监控，请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录通过 Amazon RDS 日志记录，您可以捕获连接、断开连接、查询或查询表等事件。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 服务器访问记录提供了一种监控，提供了一种监控网络安全事件的方法。通过捕获有关记录详细地记录对 Amazon S3 桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细包括请求操作、响应状态和错误代码（如果相关）。
T0489	根据既定程序实施系统安全措施，以确保机密性、完整性、可用性、身份验证和不可否认性。	vpc-flow-logs-enabled	VPC 流日志提供有关传入和传出您的的 Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下，流的不同组件的值，包括源、目标和协议。
T0491	根据组织标准为系统用户安装和配置硬件、软件和外围设备。	ec2-instance-managed-by-systems-管理器	通过使用 SAWS ystems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例。使用AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发行商和版本以及有关您的环境的其他详细信息。
T0491	根据组织标准为系统用户安装和配置硬件、软件和外围设备。	ec2-managedinstance-association-compliance-status-checket	使用AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。 AWSSystems Manager 为您的托管实例分配配置状态，并允许您设置操作系统补丁级别、软件安装、应用程序配置和有关环境的其他详细信息的基准。
T0491	根据组织标准为系统用户安装和配置硬件、软件和外围设备。	ec2-managedinstance-patch-compliance-status-checket	启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。
T0503	监控外部数据源（例如网络防御供应商网站、计算机应急响应小组、Security Focus），以保持网络防御威胁状况的最新状态，并确定哪些安全问题可能会对企业产生影响。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0509	进行信息安全风险评估。	annual-risk-assessment-performed （过程检查）	对您的组织进行年度风险评估。风险评估可以帮助确定已识别的风险和/或漏洞影响组织的可能性和影响。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	ec2-ebs-encryption-by-default	为帮助保护静态数据，请确保已为 Amazon EBS（Amazon EBS）卷启用加密。由于敏感数据可能静态存在于这些卷中，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	elasticsearch-node-to-node-加密检查	确保启用Amazon Elasticsearch Service node-to-node 加密。Node-to-node 加密支持跨 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	elb-tls-https-listeners-仅限	确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-password-policy	身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters （AWS基础安全最佳实践值：true）、 RequireLowercaseCharacters （AWS基础安全最佳实践值：true）、 RequireSymbols （AWS基础安全最佳实践值：true）、 RequireNumbers （AWS基础安全最佳实践值：true）、 MinimumPasswordLength （AWS基础安全最佳实践值：14）、 PasswordReusePrevention（AWS基础安全最佳实践值：24）和 MaxPasswordAge（AWS基础安全最佳实践值：90）IAM 密码策略。实际值应反映贵组织的政策。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-user-mfa-enabled	启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	mfa-enabled-for-iam-控制台访问权限	通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA，您可以减少账户被盗事件，并防止未经授权的用户访问敏感数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	opensearch-encrypted-at-rest	由于敏感数据可能存在并且为了帮助保护静态数据，请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	opensearch-node-to-node-加密检查	确保启用Amazon Elasticsearch Service node-to-node 加密。Node-to-node 加密支持跨 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	rds-snapshot-encrypted	确保您的Amazon Relational Database Service (Amazon RDS) 快照的加密由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	s3-default-encryption-kms	确保您的Amazon Simple Storage Service (Amazon S3) 存储桶的加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	sagemaker-notebook-instance-kms-密钥配置	为帮助保护静态数据，请确保您的 SageMaker 笔记本电脑启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 笔记本电脑中，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	alb-http-to-https-重定向检查	为了帮助保护传输中的数据，请确保您的Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	api-gw-cache-enabled并已加密	为了帮助保护静态数据，请确保为您的 API Gateway 阶段的缓存启用了加密。由于可以捕获 API 方法的敏感数据，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	api-gw-ssl-enabled	确保使用 SSL 证书配置 Amazon API Gateway REST API 阶段，以允许后端系统对来自 API 网关的请求进行身份验证。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	cloud-trail-encryption-enabled	由于敏感数据可能存在，为了帮助保护静态数据，请确保为您的AWS CloudTrail跟踪启用加密。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	efs-encrypted-check	由于敏感数据可能存在并且为了帮助保护静态数据，请确保为您的 Amazon Elastic File System (EFS) 启用加密。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	elasticsearch-encrypted-at-rest	由于敏感数据可能存在并且为了帮助保护静态数据，请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	elb-acm-certificate-required	由于敏感数据可能存在并且为了帮助保护传输中的数据，请确保为 Elastic Load Balancing 启用加密。使用AWS Certificate Manager 管理、预置和部署带有AWS服务和内部资源的公共和私有 SSL/TLS 证书。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	加密卷	由于敏感数据可能存在并帮助保护静态数据，请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	rds-storage-encrypted	为了帮助保护静态数据，请确保对您的Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	redshift-cluster-kms-enabled	为了帮助保护静态数据，请确保为您的 Amazon Redshift 集群启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 Redshift 集群中，因此启用静态加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	redshift-require-tls-ssl	确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	s3bucket-server-side-encryption-已启用	为了帮助保护您的Amazon Simple Storage (Amazon Simple StSimple Storage Service (Amazon S3) 桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中，因此启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	s3-bucket-ssl-requests-only	为了帮助保护传输中的数据，请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在，因此请在传输过程中启用加密以帮助保护这些数据。
T0553	应用网络安全功能（例如加密、访问控制和身份管理）以减少利用机会。	sagemaker-endpoint-configuration-kms-密钥配置	为帮助保护静态数据，请确保您的 SageMaker 终端节点启用了AWS密钥管理服务 (AWSKMS) 加密。由于敏感数据可能静态存在于 SageMaker 端点中，因此启用静态加密以帮助保护这些数据。
T0557	整合与网络空间相关的关键管理功能。	cmk-backing-key-rotation-启用	启用密钥轮换，确保密钥在加密周期结束后轮换。
T0557	整合与网络空间相关的关键管理功能。	kms-cmk-not-scheduled-用于删除	为帮助保护静态数据，请确保不计划在密钥管理服务 (KMS) 中删除必要的客户主AWS密AWS钥 (CMK)。由于有时需要删除密钥，因此此规则可以帮助检查所有计划删除的密钥，以防密钥是无意中安排的。
T0576	评估所有来源的情报并推荐目标以支持网络行动目标。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0609	启用无线计算机和数字网络的接入。	alb-waf-enabled	确保在弹性负载均衡器 (ELB) 上启用AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响您的环境中的可用性、损害安全性或消耗过多的资源。
T0609	启用无线计算机和数字网络的接入。	api-gw-associated-with-waf	AWS通过 WAF，您可以配置一组规则（称为 Web 访问控制列表，即 Web ACL），基于可自定义的 Web 安全规则以及您定义的条件，允许、阻止或统计 Web 请求。确保您的Amazon API Gateway 阶段与 WAF Web ACL 相关联，以保护其免受恶意攻击
T0609	启用无线计算机和数字网络的接入。	autoscaling-launch-config-public-ip 已禁用	如果您使用公有 IP 地址配置网络接口，则可以从 Internet 访问这些网络接口的相关资源。EC2 资源不应公开访问，因为这可能允许意外访问您的应用程序或服务器。
T0609	启用无线计算机和数字网络的接入。	dms-replication-not-public	通过确保无法公开访问 DMS 复制实例来管理对AWS云的访问权限。DMS 复制实例可能包含敏感信息，此类账户需要访问控制。
T0609	启用无线计算机和数字网络的接入。	ebs-snapshot-public-restorable-检查	通过确保 EBS 快照不可公开恢复，管理对AWS云的访问权限。EBS 卷快照可能包含敏感信息，此类账户需要访问控制。
T0609	启用无线计算机和数字网络的接入。	ec2-instance-no-public-ip	通过确保无法公开访问Amazon Elastic Compute Cloud (Amazon EC2) 实例，管理对云的访问权限。AWSAmazon EC2 实例可能包含敏感信息，此类账户需要访问控制。
T0609	启用无线计算机和数字网络的接入。	elasticsearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0609	启用无线计算机和数字网络的接入。	emr-master-no-public-ip	通过确保无法公开访问 Amazon EMR 集群主节点来管理对AWS云的访问权限。Amazon EMR 集群主节点可能包含敏感信息，此类账户需要访问控制。
T0609	启用无线计算机和数字网络的接入。	restricted-sh	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选，帮助管理网络访问。不允许从 0.0.0/0 到端口 22 的入口（或远程）流量。
T0609	启用无线计算机和数字网络的接入。	ec2-instances-in-vpc	通过在 Amazon 虚拟私有云（Amazon VPC）中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例，而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给亚马逊 VPC 以正确管理访问权限。
T0609	启用无线计算机和数字网络的接入。	lambda-function-public-access-禁止	通过确保AWS Lambda 函数无法公开访问，管理对AWS云中资源的访问权限。公共访问可能导致资源可用性下降。
T0609	启用无线计算机和数字网络的接入。	lambda-inside-vpc	在 Amazon Virtual Private Cloud (Amazon VPC) 中部署AWS Lambda 函数，以标识您 Amazon VPC irtual Private 使用此配置，不需要互联网网关、NAT 设备或 VPN 连接。AWS云中的所有流量都会保持安全。由于进行了逻辑隔离，驻留在 Amazon VPC 中的域有一层额外的安全性。为了正确管理访问权限，应AWS将 Lambda 函数分配给 VPC。
T0609	启用无线计算机和数字网络的接入。	no-unrestricted-route-to-igw	确保 Amazon EC2 路由表没有通往互联网网关的无限制路由。取消或限制 Amazon VPC 内工作负载的互联网访问权限可以减少环境中的意外访问。
T0609	启用无线计算机和数字网络的接入。	rds-instance-public-access-检查	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息，此类账户需要原则和访问控制。
T0609	启用无线计算机和数字网络的接入。	rds-snapshots-public-prohibited	通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的，来管理对AWS云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息和原则，此类账户需要访问控制。
T0609	启用无线计算机和数字网络的接入。	redshift-cluster-public-access-检查	通过确保 Amazon Redshift 集群不公开，管理对AWS云中资源的访问权限。Amazon Redshift 集群可能包含敏感信息和原则，此类账户需要访问控制。
T0609	启用无线计算机和数字网络的接入。	redshift-enhanced-vpc-routing-启用	增强型 VPC 路由会强制集群和数据存储库之间的所有复制和卸载流量通过您的 Amazon VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC 流日志来监控网络流量。
T0609	启用无线计算机和数字网络的接入。	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0609	启用无线计算机和数字网络的接入。	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
T0609	启用无线计算机和数字网络的接入。	s3-bucket-public-read-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0609	启用无线计算机和数字网络的接入。	s3-bucket-public-write-prohibited	通过仅允许授权的用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
T0609	启用无线计算机和数字网络的接入。	sagemaker-notebook-no-direct-互联网接入	通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网，管理对AWS云端资源的访问权限。通过防止直接访问互联网，您可以防止未经授权的用户访问敏感数据。
T0609	启用无线计算机和数字网络的接入。	vpc-default-security-group-已关闭	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以对AWS资源的入口和出口网络流量进行有状态过滤。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。
T0609	启用无线计算机和数字网络的接入。	vpc-sg-open-only-to-authorized-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制对可信来源的端口访问可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 访问安全组内的资源 (0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
T0609	启用无线计算机和数字网络的接入。	opensearch-in-vpc-only	通过确保Amazon ElasticsearAWS d Service (Amazon ES) 域在 Amazon Virtual Private Cloud (Amazon ES) 域中，通过在 Amazon VPC 中的一个 Amazon ES 域，您可以在 Amazon EC 和 VPC 中的其他服务之间进行安全通信，而无需互联网网关、NAT 设备或 VPN 连接。
T0609	启用无线计算机和数字网络的接入。	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中的资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
T0609	启用无线计算机和数字网络的接入。	subnet-auto-assign-public-ip 已禁用	通过确保不会自动为Amazon Virtual Private Cloud (VPC) 子网分配公有 IP 地址来管理对云的访问。AWS在启用了此属性的子网中启动的 Amazon Elastic Compute Cloud (EC2) 实例会为其主网络接口分配公有 IP 地址。
T0616	对网络内的系统进行网络侦查和漏洞分析。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0686	识别威胁漏洞。	ec2-managedinstance-patch-compliance-status-checket	启用此规则可帮助识别和记录Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查SAWS ystems Manager 中的 Amazon EC2 实例补丁是否符合贵组织的政策和程序的要求。
T0686	识别威胁漏洞。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	cw-loggroup-retention-period-检查	确保为您的日志组保留最短持续时间的事件日志数据，以帮助进行故障排除和取证调查。缺乏可用的过去事件日志数据使得重建和识别潜在的恶意事件变得困难。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	elasticsearch-logs-to-cloudwatch	确保 Amazon Elasticsearch 服务域启用了错误日志并将其传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审计，并可以帮助诊断可用性问题。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	lambda-concurrency-check	此规则确保建立 Lambda 函数的并发上限和下限。这能够帮助确定您的函数在任何给定时间所服务的请求的数量的基准。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	lambda-dlq-check	启用此规则可以帮助在功能失败时通过 Amazon Simple Queue Service (Amazon SQS) 或Amazon Simple Notion Service (Amazon SNS) 或Amazon S
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	multi-region-cloudtrail-enabled	AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户以及从中发出时间AWS、从中发出时间、从中发出。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED，则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外，当AWS启动新区域时， CloudTrail 将在新区域中创建相同的路径。因此，您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	rds-enhanced-monitoring-enabled	启用 Amazon Relational Database Service (Amazon RDS) 以帮助这样可以详细了解您的 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时，增强监控会收集每台设备的数据。此外，当 Amazon RDS 数据库实例在多可用区部署中运行时，将收集辅助主机上每台设备的数据和辅助主机指标。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	rds-logging-enabled	为了帮助在您的环境中进行记录和监控，请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录通过 Amazon RDS 日志记录，您可以捕获连接、断开连接、查询或查询表等事件。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	已启用安全集线器	AWSSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。 AWSSecurity Hub 可以聚合、组织和优先处理来自多个AWS服务的安全告警或结果。其中一些服务包括亚马逊Security Hub、Amazon Inspector、Amazon Macie、IdentAWS ity and Access Management (IAM) 访问分析器和FiAWS rewall Manager 以及AWS合作伙伴解决方案。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	启用 wafv2 日志记录	为了帮助在您的环境中进行日志记录和监控，请在区域和全球 Web ACL 上启用AWS WAF (V2) 登录。 AWSWAF 日志记录提供有关您的 Web ACL 分析的流量的详细信息。日志记录AWS WAF 从您的的AWS资源收到请求的时间，有关请求的信息，以及每个请求所匹配的规则的操作。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	api-gw-execution-logging-启用	API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种见解可以让用户活动变得可见。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	autoscaling-group-elb-healthcheck-必填项	Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Scaling 组的运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或者发送请求来测试 Amazon EC2 实例运行状况来测试 Amazon EC2 实例运行状况或者发送请求来测试。如果实例未报告，则流量将发送到新的 Amazon EC2 实例。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	beanstalk-enhanced-health-reporting-启用	AWSElastic Beanstalk 增强型运行状况报告可以更快地响应底层基础设施运行状况的变化。这些更改可能导致应用程序缺乏可用性。Elastic Beanstalk 增强型运行状况报告提供了状态描述符，用于评估已发现问题的严重程度并确定可能的调查原因。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	cloud-trail-cloud-watch-启用日志	CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	已启用云端追踪	AWS CloudTrail 可以通过记录AWS管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用AWS服务的用户和AWS帐户、生成呼叫的源 IP 地址以及呼叫的时间。捕获数据的详细信息可在AWS CloudTrail 记录内容中查看。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	cloudtrail-s3 数据事件已启用	ServSimple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	cloudwatch-alarm-action-check	如果某指标在指定数量的评估期内超出阈值，Amazon 将 CloudWatch 告警将提出。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired （Config 默认值：True）、 insufficientDataAction必需（Config 默认值：True）、 okActionRequired （Config 默认值：False）的值。实际值应反映您环境的警报操作。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	ec2-instance-detailed-monitoring-enabled	启用此规则可帮助在 Amazon EC2 控制台上改善Amazon Elastic Compute Cloud (Amazon EC2) 实例的实例监控图表。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	elb-logging-enabled	Elastic Load Balancing 活动是环境中的中心通信点。确保已启用了 ELB 日志记录。收集的数据可提供有关发送给 ELB 的请求的详细信息。每个日志都包含信息 (例如，收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	redshift-cluster-configuration-check	要保护静态数据，请确保为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关有关此规则要求为 clusterDbEncrypted （Config 默认值：TRUE）和启用日志（Config 默认值：TRUE）设置值。实际值应反映贵组织的政策。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 服务器访问记录提供了一种监控，提供了一种监控网络安全事件的方法。通过捕获有关记录详细地记录对 Amazon S3 桶提出的各种请求。每条访问日志记录都提供有关单个访问请求的详细信息。详细包括请求操作、响应状态和错误代码（如果相关）。
T0706	通过传统和替代技术（例如，社交网络分析、呼叫链接、流量分析）收集有关网络的信息。	vpc-flow-logs-enabled	VPC 流日志提供有关传入和传出您的的 Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下，流的不同组件的值，包括源、目标和协议。
T0777	概要介绍网络或系统管理员及其活动。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0805	报告情报衍生的重大网络事件和入侵。	guardduty-enabled-centralized	亚马逊 GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。其中包括恶意IP和机器学习的列表，用于标识您的AWS云端意外的和恶意活动。
T0877	与适用的组织单位合作，监督消费者信息访问权	ec2-instance-profile-attached	EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。
T0877	与适用的组织单位合作，监督消费者信息访问权	ecs-task-definition-user-for-host-mode-check	如果任务定义具有更高的权限，那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时，此控件会检查是否存在意外权限升级。
T0877	与适用的组织单位合作，监督消费者信息访问权	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0877	与适用的组织单位合作，监督消费者信息访问权	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0877	与适用的组织单位合作，监督消费者信息访问权	ssm-document-not-public	确保SAWS ystems Manager (SSM) 文档不公开，因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可以公开有关您的账户、资源和内部流程的信息。
T0877	与适用的组织单位合作，监督消费者信息访问权	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的手段。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0877	与适用的组织单位合作，监督消费者信息访问权	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0877	与适用的组织单位合作，监督消费者信息访问权	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0877	与适用的组织单位合作，监督消费者信息访问权	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0877	与适用的组织单位合作，监督消费者信息访问权	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0877	与适用的组织单位合作，监督消费者信息访问权	restricted-common-ports	通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制公共端口，管理对云中的资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（Config 默认值：20,213389,3306,4333）。实际值应反映贵组织的政策。
T0935	进行信息安全风险评估。	annual-risk-assessment-performed （过程检查）	对您的组织进行年度风险评估。风险评估可以帮助确定已识别的风险和/或漏洞影响组织的可能性和影响。
T0960	监控系统及其运行环境的变化。	lambda-concurrency-check	此规则确保建立 Lambda 函数的并发上限和下限。这能够帮助确定您的函数在任何给定时间所服务的请求的数量的基准。
T0960	监控系统及其运行环境的变化。	lambda-dlq-check	当某个功能失败时，启用此规则可通过在 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SQS)
T0960	监控系统及其运行环境的变化。	rds-enhanced-monitoring-enabled	启用 Amazon Relational Database Service (Amazon RDS) 以帮助这样可以详细了解您的 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时，增强监控会收集每台设备的数据。此外，当 Amazon RDS 数据库实例在多可用区部署中运行时，将收集辅助主机上每台设备的数据和辅助主机指标。
T0960	监控系统及其运行环境的变化。	autoscaling-group-elb-healthcheck-必填项	Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Scaling 组的运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或者发送请求来测试 Amazon EC2 实例运行状况来测试 Amazon EC2 实例运行状况或者发送请求来测试。如果实例未报告，则流量将发送到新的 Amazon EC2 实例。
T0960	监控系统及其运行环境的变化。	beanstalk-enhanced-health-reporting-启用	AWSElastic Beanstalk 增强型运行状况报告可以更快地响应底层基础设施运行状况的变化。这些更改可能导致应用程序缺乏可用性。Elastic Beanstalk 增强型运行状况报告提供了状态描述符，用于评估已发现问题的严重程度并确定可能的调查原因。
T0960	监控系统及其运行环境的变化。	cloudwatch-alarm-action-check	如果某指标在指定数量的评估期内超出阈值，Amazon 将 CloudWatch 告警将提出。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired （Config 默认值：True）、 insufficientDataAction必需（Config 默认值：True）、 okActionRequired （Config 默认值：False）的值。实际值应反映您环境的警报操作。
T0960	监控系统及其运行环境的变化。	dynamodb-throughput-limit-check	启用此规则可确保检查您的 Amazon DynamoDB 表上的预置吞吐容量。这是每个表可以支持的读取/写入活动量。DynamoDB 使用这些信息来预留足够的系统资源，以满足吞吐量需求。当吞吐量接近客户账户的最大限制时，此规则会生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage （Config 默认值：80）和 accountWCUThresholdPercentage （Config 默认值：80）参数。实际值应反映贵组织的政策。
T0960	监控系统及其运行环境的变化。	ec2-instance-detailed-monitoring-enabled	启用此规则可帮助在 Amazon EC2 控制台上改善Amazon Elastic Compute Cloud (Amazon EC2) 实例的实例监控图表。
T0992	确定如何在持续授权中使用持续监控结果。	ec2-instance-profile-attached	EC2 实例配置文件会将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。
T0992	确定如何在持续授权中使用持续监控结果。	ecs-task-definition-user-for-host-mode-check	如果任务定义具有更高的权限，那是因为客户特别选择了这些配置。当任务定义启用了主机联网但客户尚未选择启用提升权限时，此控件会检查是否存在意外权限升级。
T0992	确定如何在持续授权中使用持续监控结果。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0992	确定如何在持续授权中使用持续监控结果。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0992	确定如何在持续授权中使用持续监控结果。	access-keys-rotated	通过确保 IAM 访问密钥按照组织政策轮换，对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间，减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0992	确定如何在持续授权中使用持续监控结果。	emr-kerberos-enabled	通过为 Amazon EMR 集群启用 Kerberos，可以按照最小权限和职责分离的原则管理和整合访问权限和授权。在 Kerberos 中，需要进行身份验证的服务和用户被称为委托人。校长存在于 Kerberos 领域内。在该领域内，Kerberos 服务器被称为密钥分配中心 (KDC)。它为校长提供了一种进行身份验证的手段。KDC 通过签发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
T0992	确定如何在持续授权中使用持续监控结果。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0992	确定如何在持续授权中使用持续监控结果。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0992	确定如何在持续授权中使用持续监控结果。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0992	确定如何在持续授权中使用持续监控结果。	iam-password-policy	身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters （AWS基础安全最佳实践值：true）、 RequireLowercaseCharacters （AWS基础安全最佳实践值：true）、 RequireSymbols （AWS基础安全最佳实践值：true）、 RequireNumbers （AWS基础安全最佳实践值：true）、 MinimumPasswordLength （AWS基础安全最佳实践值：14）、 PasswordReusePrevention（AWS基础安全最佳实践值：24）和 MaxPasswordAge（AWS基础安全最佳实践值：90）IAM 密码策略。实际值应反映贵组织的政策。
T0992	确定如何在持续授权中使用持续监控结果。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0992	确定如何在持续授权中使用持续监控结果。	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
T0992	确定如何在持续授权中使用持续监控结果。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0992	确定如何在持续授权中使用持续监控结果。	iam-user-mfa-enabled	启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。
T0992	确定如何在持续授权中使用持续监控结果。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0992	确定如何在持续授权中使用持续监控结果。	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0992	确定如何在持续授权中使用持续监控结果。	mfa-enabled-for-iam-控制台访问权限	通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA，您可以减少账户被盗事件，并防止未经授权的用户访问敏感数据。
T0992	确定如何在持续授权中使用持续监控结果。	root-account-hardware-mfa-启用	通过确保为根用户启用硬件 MFA，管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。
T0992	确定如何在持续授权中使用持续监控结果。	root-account-mfa-enabled	通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。
T0992	确定如何在持续授权中使用持续监控结果。	secretsmanager-rotation-enabled-check	此规则可确保 SSAWS ecrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的活跃时间，并有可能减少机密泄露后对业务的影响。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-customer-policy-blocked-kms-actions	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略包含对所有AWS密钥管理服务密钥的封锁操作。拥有超过完成任务所需的权限可能违反最小权限和职责分离的原则。此规则允许您设置 blockedActionsPatterns 参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-group-has-users-检查	AWSIdentity and Access Management (IAM) 可以确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。根据用户的关联权限或工作职能将用户分组是纳入最低权限的一种方法。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-inline-policy-blocked-kms-actions	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 群组没有允许对所有AWS密钥管理服务密钥执行封锁操作的内联策略。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委派权限管理。此规则允许您设置 blockedActionsPatterns参数。（AWS基础安全最佳实践值：kms: Decrypt，kms:ReEncryptFrom）。实际值应反映贵组织的政策。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-password-policy	身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters （AWS基础安全最佳实践值：true）、 RequireLowercaseCharacters （AWS基础安全最佳实践值：true）、 RequireSymbols （AWS基础安全最佳实践值：true）、 RequireNumbers （AWS基础安全最佳实践值：true）、 MinimumPasswordLength （AWS基础安全最佳实践值：14）、 PasswordReusePrevention（AWS基础安全最佳实践值：24）和 MaxPasswordAge（AWS基础安全最佳实践值：90）IAM 密码策略。实际值应反映贵组织的政策。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-policy-no-statements-with-full-access	确保 IAM 操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-user-no-policies-检查	此规则确保 IdAWS entity and Adentity and Adentity and Adentity and Adentity and Adentity and A 在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（Config 默认值：90）。实际价值应反映贵组织的政策。
T0993	建立持续监控工具和技术访问控制流程和程序。	mfa-enabled-for-iam-控制台访问权限	通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA，您可以减少账户被盗事件，并防止未经授权的用户访问敏感数据。
T0993	建立持续监控工具和技术访问控制流程和程序。	iam-user-mfa-enabled	启用此规则以限制对AWS云中资源的访问。此规则可确保对所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户使用 MFA 来减少账户被盗事件。
T0993	建立持续监控工具和技术访问控制流程和程序。	root-account-hardware-mfa-启用	通过确保为根用户启用硬件 MFA，管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。
T0993	建立持续监控工具和技术访问控制流程和程序。	root-account-mfa-enabled	通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。

模板

该模板可在以下网址找到 GitHub：NIST 800 181 的操作最佳实践。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

适用于 NIST 的运营最佳

适用于 NIST 1800 的运营最佳实践 25