本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub CSPM 控件参考
此控件参考提供了可用的 Sec AWS urity Hub CSPM 控件表,其中包含指向有关每个控件的更多信息的链接。在该表中,控件按控件 ID 的字母顺序排列。此处仅包含 Security Hub CSPM 正在使用的控件。已停用的控件不包含在表中。
该表提供了每个控件的以下信息:
-
安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的AWS 服务和资源。无论您的账户中开启还是关闭了整合控制结果 IDs,Security Hub CSPM 控制台都会显示安全控制。但是,只有在您的账户中启用了合并控制结果时,Security Hub CSPM 调查结果 IDs 才会引用安全控制。如果在您的账户中关闭了合并控制结果,则控制结果中的某些控制措施 IDs 会因标准而异。有关特定于标准的控制与安全控制 IDs 的映射 IDs,请参阅。整合如何影响控制权 IDs 和所有权
如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub CSPM 偶尔会更新控件标题或描述,但控制 IDs 保持不变。
控件 IDs 可能会跳过数字。这些是未来控件的占位符。
-
安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub CSPM 控制台都会显示安全控件标题。但是,只有在账户中开启了整合的控件调查发现时,Security Hub CSPM 调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定于标准的控制与安全控制 IDs 的映射 IDs,请参阅。整合如何影响控制权 IDs 和所有权
-
适用标准——指明控件适用于哪些标准。请选择一个控件以查看第三方合规性框架的具体要求。
-
严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub CSPM 如何确定控件严重性的信息,请参阅控件调查发现的严重性级别。
-
支持自定义参数-指示控件是否支持一个或多个参数的自定义值。请选择一个控件以查看参数详细信息。有关更多信息,请参阅 了解 Security Hub CSPM 中的控件参数。
-
计划类型——指明何时评估控件。有关更多信息,请参阅 有关运行安全检查的计划。
请选择一个控件以查看更多详细信息。控件按安全控件 ID 的字母顺序排列。
| 安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 |
|---|---|---|---|---|---|
| Account.1 | 应为以下人员提供安全联系信息 AWS 账户 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5 | 中 | 定期 | |
| Account.2 | AWS 账户应该是AWS Organizations组织的一部分 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ACM.1 | 导入的证书和 ACM 颁发的证书应在指定时间段后更新 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | |
变更已触发且定期进行 |
| ACM.2 | 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度 | AWS基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ACM.3 | 应标记 ACM 证书 | AWS资源标签标准 | 低 | 变更已触发 | |
| Amplify.1 | 应标记 Amplify 应用 | AWS资源标签标准 | 低 | 变更已触发 | |
| Amplify.2 | 应标记 Amplify 分支 | AWS资源标签标准 | 低 | 变更已触发 | |
| APIGateway1。 | 应启用 API Gateway REST 和 WebSocket API 执行日志记录 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.2 | API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| APIGateway.3 | API Gateway REST API 阶段应启用AWS X-Ray跟踪 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| APIGateway.4 | API Gateway 应与 WAF Web ACL 关联 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.5 | API Gateway REST API 缓存数据应静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.8 | API Gateway 路由应指定授权类型 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| APIGateway.9 | 应为 API Gateway V2 阶段配置访问日志记录 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppConfig1。 | AWS AppConfig应用程序应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppConfig.2 | AWS AppConfig应标记配置文件 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppConfig.3 | AWS AppConfig应该给环境加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppConfig.4 | AWS AppConfig应标记扩展关联 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppFlow1。 | 应标记 Amazon AppFlow 流程 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppRunner1。 | 应标记 App Runer 服务 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppRunner.2 | 应标记 App Runner VPC 连接器 | AWS资源标签标准 | 低 | 变更已触发 | |
| AppSync1。 | AWSAppSync API 缓存应在静态状态下进行加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| AppSync.2 | AWSAppSync 应该启用字段级日志记录 | AWS基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppSync.4 | AWSAppSync APIs 应标记 GraphQL | AWS资源标签标准 | 低 | 变更已触发 | |
| AppSync.5 | AWSAppSync APIs 不应使用 API 密钥对 GraphQL 进行身份验证 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| AppSync.6 | AWSAppSync API 缓存应在传输过程中进行加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Athena.2 | 应标记 Athena 数据目录 | AWS资源标签标准 | 低 | 变更已触发 | |
| Athena.3 | 应标记 Athena 工作组 | AWS资源标签标准 | 低 | 变更已触发 | |
| Athena.4 | Athena 工作组应启用日志记录 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| AutoScaling1。 | 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | AWS基础安全最佳实践,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| AutoScaling.2 | Amazon A EC2 uto Scaling 组应覆盖多个可用区域 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.3 | Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| Autoscaling.5 | 使用 Auto Scaling 群组启动配置启动的亚马逊 EC2 实例不应具有公有 IP 地址 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| AutoScaling.6 | 自动扩缩组组应在多个可用区中使用多种实例类型 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.9 | EC2 Auto Scaling 群组应使用 EC2 启动模板 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.10 | EC2 应标记 Auto Scaling 群组 | AWS资源标签标准 | 低 | 变更已触发 | |
| Backup.1 | AWS Backup恢复点应在静态状态下进行加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Backup.2 | AWS Backup应标记恢复点 | AWS资源标签标准 | 低 | 变更已触发 | |
| Backup.3 | AWS Backup应给保管库加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Backup.4 | AWS Backup报告计划应加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Backup.5 | AWS Backup应标记备份计划 | AWS资源标签标准 | 低 | 变更已触发 | |
| Batch.1 | 应标记批处理作业队列 | AWS资源标签标准 | 低 | 变更已触发 | |
| Batch.2 | 应标记批处理计划策略 | AWS资源标签标准 | 低 | 变更已触发 | |
| Batch.3 | 应标记批处理计算环境 | AWS资源标签标准 | 低 | 变更已触发 | |
| Batch.4 | 应标记托管批处理计算环境中的计算资源属性 | AWS资源标签标准 | 低 | 变更已触发 | |
| CloudFormation.2 | CloudFormation 堆栈应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| CloudFormation.3 | CloudFormation 堆栈应启用终止保护 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| CloudFormation.4 | CloudFormation 堆栈应该有相关的服务角色 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| CloudFront1。 | CloudFront 发行版应该配置一个默认的根对象 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| CloudFront.3 | CloudFront 发行版在传输过程中应要求加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.4 | CloudFront 发行版应配置源站故障转移 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| CloudFront.5 | CloudFront 发行版应该启用日志记录 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.6 | CloudFront 发行版应启用 WAF | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.7 | CloudFront 发行版应使用自定义 SSL/TLS 证书 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 低 | |
变更已触发 |
| CloudFront.8 | CloudFront 发行版应使用 SNI 来处理 HTTPS 请求 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| CloudFront.9 | CloudFront 发行版应加密发往自定义来源的流量 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.10 | CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.12 | CloudFront 发行版不应指向不存在的 S3 来源 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| CloudFront.13 | CloudFront 发行版应使用源站访问控制 | AWS基础安全最佳实践 v1.0.0 | 中 | |
变更已触发 |
| CloudFront.14 | CloudFront 应该给发行版加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| CloudFront.15 | CloudFront 发行版应使用推荐的 TLS 安全策略 | AWS基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CloudFront.16 | CloudFront 分发应该对 Lambda 函数 URL 来源使用源访问控制 | AWS基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CloudFront.17 | CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie | AWS基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CloudTrail1。 | CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、基础安全最佳实践、NIS AWS T SP 800-53 修订版 5 AWS | HIGH(高) | 定期 | |
| CloudTrail.2 | CloudTrail 应该启用静态加密 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期 |
| CloudTrail.3 | 至少应启用一条 CloudTrail 跟踪 | NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | HIGH(高) | 定期 | |
| CloudTrail.4 | CloudTrail 应启用日志文件验证 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | 低 | |
定期 |
| CloudTrail.5 | CloudTrail 应将跟踪与 Amazon CloudWatch 日志集成 | CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、AWS基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | |
定期 |
| CloudTrail.6 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 独联体AWS基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、PCI DSS v4.0.1 | 关键 | |
变更已触发且定期进行 |
| CloudTrail.7 | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | 独联体AWS基金会基准 v5.0.0、独联体AWS基金会基准 v3.0.0、独联体基金会基准 v1.2.0、独联体AWS基金会基准 v1.4.0、独联体基金会基准 v3.0.0、PCI AWS DSS v4.0.1 AWS | 低 | |
定期 |
| CloudTrail.9 | CloudTrail 路径应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| CloudTrail.10 | CloudTrail 湖泊事件数据存储应使用客户托管进行加密 AWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| CloudWatch1。 | 应具有有关“根”用户使用的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 修订版 2、PCI DSS v3.2.1 | 低 | |
定期 |
| CloudWatch.2 | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.3 | 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 | 独联体AWS基金会基准测试 v1.2.0 | 低 | |
定期 |
| CloudWatch.4 | 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.5 | 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.6 | 确保存在针对AWS 管理控制台身份验证失败的日志指标筛选器和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.7 | 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.8 | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.9 | 确保存在AWS Config配置更改的日志指标筛选器和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.10 | 确保存在关于安全组更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.11 | 确保存在关于网络访问控制列表(NACL)更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.12 | 确保存在关于网络网关更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.13 | 确保存在关于路由表更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.14 | 确保存在关于 VPC 更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.15 | CloudWatch 警报应配置指定的操作 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | |
变更已触发 |
| CloudWatch.16 | CloudWatch 日志组应在指定的时间段内保留 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| CloudWatch.17 | CloudWatch 应启用警报操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| CodeArtifact1。 | CodeArtifact 存储库应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| CodeBuild1。 | CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | 变更已触发 | |
| CodeBuild.2 | CodeBuild 项目环境变量不应包含明文凭证 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| CodeBuild.3 | CodeBuild 应对 S3 日志进行加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| CodeBuild.4 | CodeBuild 项目环境应该有日志配置 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| CodeBuild.7 | CodeBuild 报告组导出应进行静态加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| CodeGuruProfiler1。 | CodeGuru 应标记 Profiler 分析组 | AWS资源标签标准 | 低 | 变更已触发 | |
| CodeGuruReviewer1。 | CodeGuru 应标记 Reviewer 存储库关联 | AWS资源标签标准 | 低 | 变更已触发 | |
| Cognito.1 | Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.2 | Cognito 身份池不应允许未经身份验证的身份 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.3 | Cognito 用户池的密码策略应具有可靠的配置 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.4 | Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.5 | 应为 Cognito 用户池启用 MFA | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.6 | Cognito 用户池应启用删除保护 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| Config.1 | AWS Config应该启用并使用服务相关角色进行资源记录 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳AWS实践、NIST SP 800-53 修订版 5、PCI DSS v3.2.1 | 关键 | 定期 | |
| Connect.1 | 应标记 Amazon Connect Customer Profiles 对象类型 | AWS资源标签标准 | 低 | 变更已触发 | |
| Connect.2 | Amazon Connect 实例应启用 CloudWatch 日志记录 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| DataFirehose1。 | 应静态加密 Firehose 传输流 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| DataSync1。 | DataSync 任务应该启用日志记录 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| DataSync.2 | DataSync 任务应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| Detective.1 | 应标记 Detective 行为图 | AWS资源标签标准 | 低 | 变更已触发 | |
| DMS.1 | Database Migration Service 复制实例不应公开 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | |
定期 |
| DMS.2 | 应标记 DMS 证书 | AWS资源标签标准 | 低 | 变更已触发 | |
| DMS.3 | 应标记 DMS 事件订阅 | AWS资源标签标准 | 低 | 变更已触发 | |
| DMS.4 | 应标记 DMS 复制实例 | AWS资源标签标准 | 低 | 变更已触发 | |
| DMS.5 | 应标记 DMS 复制子网组 | AWS资源标签标准 | 低 | 变更已触发 | |
| DMS.6 | DMS 复制实例应启用自动次要版本升级 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.7 | 目标数据库的 DMS 复制任务应启用日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.8 | 源数据库的 DMS 复制任务应启用日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.9 | DMS 端点应使用 SSL | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.10 | Neptune 数据库的 DMS 端点应启用 IAM 授权 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.11 | MongoDB 的 DMS 端点应启用身份验证机制 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.12 | Redis OSS 的 DMS 端点应启用 TLS | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.13 | DMS 复制实例应配置为使用多个可用区 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| DocumentDB.1 | Amazon DocumentDB 集群应进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DocumentDB.2 | Amazon DocumentDB 集群应有足够的备份保留期 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DocumentDB.3 | Amazon DocumentDB 手动集群快照不应公开 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| DocumentDB.4 | Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DocumentDB.5 | Amazon DocumentDB 集群应启用删除保护 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| documentDB. | Amazon DocumentDB 集群应在传输过程中加密 | AWS基础安全最佳实践 | 中 | 定期 | |
| DynamoDB.1 | DynamoDB 表应根据需求自动扩展容量 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.2 | DynamoDB 表应该启用恢复功能 point-in-time | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.3 | DynamoDB Accelerator(DAX)集群应在静态状态下进行加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.4 | 备份计划中应有 DynamoDB 表 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.5 | 应标记 DynamoDB 表 | AWS资源标签标准 | 低 | 变更已触发 | |
| DynamodB.6 | DynamoDB 表应启用删除保护 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.7 | 应在传输过程中加密 DynamoDB Accelerator 集群 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| EC21。 | 不应公开还原 EBS 快照 | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | |
定期 |
| EC2.2 | VPC 默认安全组不应允许入站或出站流量 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、AWS基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 AWS | HIGH(高) | |
变更已触发 |
| EC2.3 | 挂载的 EBS 卷应进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.4 | 应在指定的时间段后移除已停止的 EC2 实例 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EC2.6 | 应全部启用 VPC 流日志 VPCs | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、AWS基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5、NIST SP 800-171 修订版 2 AWS | 中 | |
定期 |
| EC2.7 | EBS 默认加密应该为已启用。 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS基础安全最佳实践 v1.0.0、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 AWS | 中 | |
定期 |
| EC2.8 | EC2 实例应使用实例元数据服务版本 2 (IMDSv2) | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| EC2.9 | EC2 实例不应有公共 IPv4 地址 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.10 | EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
定期 |
| EC2.12 | EC2 EIPs 应移除未使用的内容 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.13 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | CIS F AWS oundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.14 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.15 | EC2 子网不应自动分配公有 IP 地址 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| EC2.16 | 应删除未使用的网络访问控制列表 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1, | 低 | |
变更已触发 |
| EC2.17 | EC2 实例不应使用多个 ENIs | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.18 | 安全组应仅允许授权端口不受限制的传入流量 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | HIGH(高) | |
变更已触发 |
| EC2.19 | 安全组不应允许无限制地访问高风险端口 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 Rev. 2 | 关键 | 变更已触发且定期进行 | |
| EC2.20 | VPN 连接的两个 AWS Site-to-Site VPN 隧道都应处于开启状态 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| EC2.21 | 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、AWS基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| EC2.22 | 应移除未使用的 EC2 安全组 | 中 | 定期 | ||
| EC2.23 | EC2 中转网关不应自动接受 VPC 连接请求 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.24 | EC2 不应使用半虚拟化实例类型 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.25 | EC2 启动模板不应将公共分配 IPs 给网络接口 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| EC2.28 | EBS 卷应包含在备份计划中 | NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| EC2.33 | EC2 应标记公交网关附件 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.34 | EC2 应标记公交网关路由表 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.35 | EC2 应标记网络接口 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.36 | EC2 应标记客户网关 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.37 | EC2 应标记弹性 IP 地址 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.38 | EC2 应该给实例加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.39 | EC2 应该给互联网网关加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.40 | EC2 应标记 NAT 网关 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.41 | EC2 网络 ACLs 应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.42 | EC2 应该对路由表进行标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.43 | EC2 应该给安全组加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.44 | EC2 应该给子网加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.45 | EC2 应为卷加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.46 | VPCs 应该给亚马逊贴上标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.47 | 应标记 Amazon VPC 端点服务 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.48 | 应标记 Amazon VPC 流日志 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.49 | 应标记 Amazon VPC 对等连接 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.50 | EC2 应标记 VPN 网关 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.51 | EC2 客户端 VPN 端点应启用客户端连接日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EC2.52 | EC2 应为中转网关加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.53 | EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口 | 独联体AWS基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.54 | EC2 安全组不应允许从:: /0 进入远程服务器管理端口 | 独联体AWS基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.55 | VPCs 应使用 ECR API 的接口端点进行配置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| EC2.56 | VPCs 应该使用 Docker 注册表的接口端点进行配置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| EC2.57 | VPCs 应使用 Systems Manager 的接口端点进行配置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| EC2.58 | VPCs 应为 Systems Manager 事件管理器联系人配置接口端点 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| EC2.60 | VPCs 应使用 Systems Manager 事件管理器的接口端点进行配置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| EC2.170 | EC2 启动模板应使用实例元数据服务版本 2 (IMDSv2) | AWS基础安全最佳实践,PCI DSS v4.0.1 | 低 | 变更已触发 | |
| EC2.171 | EC2 VPN 连接应启用日志记录 | AWS基础安全最佳实践,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| EC2.172 | EC2 VPC 阻止公共访问设置应阻止互联网网关流量 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| EC2.173 | EC2 带有启动参数的 Spot 队列请求应为连接的 EBS 卷启用加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| EC2.174 | EC2 应标记 DHCP 选项集 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.175 | EC2 启动模板应加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.176 | EC2 前缀列表应加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.177 | EC2 应标记流量镜像会话 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.178 | EC2 应标记交通镜像过滤器 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.179 | EC2 应标记流量镜像目标 | AWS资源标签标准 | 低 | 变更已触发 | |
| EC2.180 | EC2 网络接口应启用 source/destination 检查 | AWS基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EC2.181 | EC2 启动模板应为连接的 EBS 卷启用加密 | AWS基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EC2.182 | EBS 快照不应公开访问 | AWS基础安全最佳实践 | HIGH(高) | 变更已触发 | |
| ECR.1 | ECR 私有存储库应配置图像扫描 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| ECR.2 | ECR 私有存储库应配置标签不可变性 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECR.3 | ECR 存储库应至少配置一项生命周期策略 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECR.4 | 应标记 ECR 公有存储库 | AWS资源标签标准 | 低 | 变更已触发 | |
| ECR.5 | ECR 存储库应使用客户管理型 AWS KMS keys进行加密 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ECS.1 | Amazon ECS 任务定义应具有安全网络模式和用户定义。 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.2 | ECS 服务不应自动分配公共 IP 地址 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ECS.3 | ECS 任务定义不应共享主机的进程命名空间 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.4 | ECS 容器应以非特权身份运行 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.5 | ECS 容器应限制为仅对根文件系统具有只读访问权限。 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.8 | 密钥不应作为容器环境变量传递 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ECS.9 | ECS 任务定义应具有日志配置 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.10 | ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ECS.12 | ECS 集群应该使用容器详情 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECS.13 | 应标记 ECS 服务 | AWS资源标签标准 | 低 | 变更已触发 | |
| ECS.14 | 应标记 ECS 集群 | AWS资源标签标准 | 低 | 变更已触发 | |
| ECS.15 | 应标记 ECS 任务定义 | AWS资源标签标准 | 低 | 变更已触发 | |
| ECS.16 | ECS 任务集不应自动分配公有 IP 地址 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| ECS.17 | ECS 任务定义不应使用主机网络模式 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ECS.18 | ECS 任务定义应对 EFS 卷使用传输中加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| ECS.19 | ECS 容量提供商应启用托管终止保护 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| ECS.20 | ECS 任务定义应在 Linux 容器定义中配置非 root 用户 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| ECS.21 | ECS 任务定义应在 Windows 容器定义中配置非管理员用户 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| EFS.1 | 应将 Elastic 文件系统配置为使用以下方法加密静态文件数据 AWS KMS | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5 | 中 | |
定期 |
| EFS.2 | Amazon EFS 卷应包含在备份计划中 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EFS.3 | EFS 接入点应强制使用根目录 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EFS.4 | EFS 接入点应强制使用用户身份 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| EFS.5 | 应标记 EFS 接入点 | AWS资源标签标准 | 低 | 变更已触发 | |
| EFS.6 | EFS 挂载目标不应与启动时分配公有 IP 地址的子网关联 | AWS基础安全最佳实践 | 中 | 定期 | |
| EFS.7 | EFS 文件系统应启用自动备份 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| EFS.8 | 应静态加密 EFS 文件系统 | CIS AWS 基金会基准测试 v5.0.0,AWS基础安全最佳实践 | 中 | 变更已触发 | |
| EKS.1 | EKS 集群端点不应公开访问 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| EKS.2 | EKS 集群应在受支持的 Kubernetes 版本上运行 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| EKS.3 | EKS 集群应使用加密的 Kubernetes 密钥 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| EKS.6 | 应标记 EKS 集群 | AWS资源标签标准 | 低 | 变更已触发 | |
| EKS.7 | 应标记 EKS 身份提供者配置 | AWS资源标签标准 | 低 | 变更已触发 | |
| EKS.8 | EKS 集群应启用审核日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ElastiCache1。 | ElastiCache (Redis OSS) 集群应启用自动备份 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| ElastiCache.2 | ElastiCache 集群应启用自动次要版本升级 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| ElastiCache.3 | ElastiCache 复制组应启用自动故障切换 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ElastiCache.4 | ElastiCache 复制组应为 encrypted-at-rest | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ElastiCache.5 | ElastiCache 复制组应为 encrypted-in-transit | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.6 | ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.7 | ElastiCache 群集不应使用默认子网组 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ElasticBeanstalk1。 | Elastic Beanstalk 环境应启用增强型运行状况报告 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| ElasticBeanstalk.2 | 应启用 Elastic Beanstalk 托管平台更新 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ElasticBeanstalk.3 | Elastic Beanstalk 应该将日志流式传输到 CloudWatch | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ELB.1 | 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ELB.2 | 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| ELB.3 | 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ELB.4 | 应将应用程序负载均衡器配置为删除 http 标头 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ELB.5 | 应启用应用程序和经典负载均衡器日志记录 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.6 | 应用程序、网关和网络负载均衡器应启用删除保护 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| ELB.7 | 经典负载均衡器应启用连接耗尽功能 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| ELB.8 | 具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ELB.9 | 经典负载均衡器应启用跨区域负载均衡器 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.10 | 经典负载均衡器应跨越多个可用区 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.12 | 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ELB.13 | 应用程序、网络和网关负载均衡器应跨越多个可用区 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.14 | 经典负载均衡器应配置为防御性或最严格的异步缓解模式 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ELB.16 | 应用程序负载均衡器应与 AWS WAF Web ACL 关联 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.17 | 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.18 | 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密 | AWS基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EMR.1 | Amazon EMR 集群主节点不应有公有 IP 地址 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EMR.2 | 应启用 Amazon EMR 屏蔽公共访问权限设置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | 定期 | |
| EMR.3 | Amazon EMR 安全配置应静态加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| EMR.4 | Amazon EMR 安全配置应在传输过程中加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| ES.1 | Elasticsearch 域应启用静态加密 | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ES.2 | Elasticsearch 域名不可供公共访问 | AWS基础安全最佳实践,PCI DSS v3.2.1,PCI DSS v4.0.1,NIST SP 800-53 Rev. 5 | 关键 | |
定期 |
| ES.3 | Elasticsearch 域应加密节点之间发送的数据 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ES.4 | 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.5 | Elasticsearch 域名应该启用审核日志 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | |
变更已触发 |
| ES.6 | Elasticsearch 域应拥有至少三个数据节点 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.7 | Elasticsearch 域应配置至少三个专用主节点 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.8 | 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| ES.9 | 应标记 Elasticsearch 域 | AWS资源标签标准 | 低 | 变更已触发 | |
| EventBridge.2 | EventBridge 应标记活动总线 | AWS资源标签标准 | 低 | 变更已触发 | |
| EventBridge.3 | EventBridge 自定义事件总线应附加基于资源的策略 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EventBridge.4 | EventBridge 全局端点应启用事件复制 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| FraudDetector1。 | 应标记 Amazon Fraud Detector 实体类型 | AWS资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.2 | 应标记 Amazon Fraud Detector 标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.3 | 应标记 Amazon Fraud Detector 结果 | AWS资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.4 | 应标记 Amazon Fraud Detector 变量 | AWS资源标签标准 | 低 | 变更已触发 | |
| FSx1。 | FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| FSx.2 | FSx 对于 Lustre 文件系统,应配置为将标签复制到备份 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 低 | 定期 | |
| FSx.3 | FSx 对于 OpenZFS 文件系统,应配置为多可用区部署 | AWS基础安全最佳实践 | 中 | 定期 | |
| FSx.4 | FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署 | AWS基础安全最佳实践 | 中 | 定期 | |
| FSx.5 | FSx 对于 Windows 文件服务器,应将文件系统配置为多可用区部署 | AWS基础安全最佳实践 | 中 | 定期 | |
| Glue.1 | AWS Glue应该给工作加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Glue.3 | AWS Glue机器学习转换应在静态状态下进行加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| 胶水。4 | AWS GlueSpark 作业应在支持的版本上运行 AWS Glue | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| GlobalAccelerator1。 | 应标记 Global Accelerator 加速器 | AWS资源标签标准 | 低 | 变更已触发 | |
| GuardDuty1。 | GuardDuty 应该启用 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v3.2.1,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| GuardDuty.2 | GuardDuty 应该给过滤器加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.3 | GuardDuty IPSets 应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.4 | GuardDuty 应给探测器加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.5 | GuardDuty 应启用 EKS 审核日志监控 | AWS基础安全最佳实践 | HIGH(高) | 定期 | |
| GuardDuty.6 | GuardDuty 应启用 Lambda 保护 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.7 | GuardDuty 应启用 EKS 运行时监控 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.8 | GuardDuty EC2 应启用恶意软件防护 | AWS基础安全最佳实践 | HIGH(高) | 定期 | |
| GuardDuty.9 | GuardDuty 应启用 RDS 保护 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.10 | GuardDuty 应启用 S3 保护 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.11 | GuardDuty 应启用 “运行时监控” | AWS基础安全最佳实践 | HIGH(高) | 定期 | |
| GuardDuty.12 | GuardDuty 应启用 ECS 运行时监控 | AWS基础安全最佳实践 | 中 | 定期 | |
| GuardDuty.13 | GuardDuty EC2 应启用 “运行时监控” | AWS基础安全最佳实践 | 中 | 定期 | |
| IAM.1 | IAM policy 不应允许完全“*”管理权限 | CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5、NIST SP 800-171 修订版 2、NIS AWS T SP 800-171 修订版 2 | HIGH(高) | |
变更已触发 |
| IAM.2 | IAM 用户不应附加 IAM policy | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、AWS基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 Rev. 2 | 低 | |
变更已触发 |
| IAM.3 | IAM 用户访问密钥应每 90 天或更短时间轮换一次 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳AWS实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.4 | 不应存在 IAM 根用户访问密钥 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、NIS AWS T SP 800-53 修订版 5 | 关键 | |
定期 |
| IAM.5 | 应为拥有控制台密码的所有 IAM 用户启用 MFA | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳AWS实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.6 | 应该为根用户启用硬件 MFA | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 关键 | |
定期 |
| IAM.7 | IAM 用户的密码策略应具有可靠的配置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.8 | 应移除未使用的 IAM 用户凭证 | CIS AWS Foundations Benchmark v1.2.0,AWS基础安全最佳实践,NIST SP 800-53 Rev. 5,NIST SP 800-171 修订版 2,PCI DSS v3.2.1,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.9 | 应为根用户启用 MFA | 独联体AWS基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体AWS基金会基准 v1.2.0、NIST SP 800-53 修订版 5、PCI AWS DSS v3.2.1、PCI DSS v4.0.1 | 关键 | |
定期 |
| IAM.10 | IAM 用户的密码策略应具有可靠的配置 | NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 | 中 | |
定期 |
| IAM.11 | 确保 IAM 密码策略要求包含至少一个大写字母 | CIS AWS 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.12 | 确保 IAM 密码策略要求包含至少一个小写字母 | CIS AWS 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.13 | 确保 IAM 密码策略要求包含至少一个符号 | CIS AWS 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| IAM.14 | 确保 IAM 密码策略要求包含至少一个数字 | CIS AWS 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.15 | 确保 IAM 密码策略要求最短密码长度不低于 14 | 独联体AWS基金会基准 v5.0.0、独联体AWS基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体AWS基金会基准 v1.2.0、NIST SP 800-171 修订AWS版 2 | 中 | |
定期 |
| IAM.16 | 确保 IAM 密码策略阻止重复使用密码 | 独联体AWS基金会基准 v5.0.0、独联体AWS基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体AWS基金会基准 v1.2.0、NIST SP 800-171 修订AWS版 2、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.17 | 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.18 | 确保创建支持角色来管理涉及 AWS 支持 的事务 | 独联体AWS基金会基准 v5.0.0、独联体AWS基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体AWS基金会基准 v1.2.0、NIST SP 800-171 修订AWS版 2、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.19 | 应该为所有 IAM 用户启用 MFA | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.21 | 您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 低 | |
变更已触发 |
| IAM.22 | 应移除在 45 天内未使用的 IAM 用户凭证 | 独联体AWS基金会基准 v5.0.0,独联体AWS基金会基准 v3.0.0,独联体基金会基准 v1.4.0,NIST SP 800-AWS 171 Rev. 2 | 中 | |
定期 |
| IAM.23 | 应标记 IAM Access Analyzer 分析器 | AWS资源标签标准 | 低 | 变更已触发 | |
| IAM.24 | 应标记 IAM 角色 | AWS资源标签标准 | 低 | 变更已触发 | |
| IAM.25 | 应标记 IAM 用户 | AWS资源标签标准 | 低 | 变更已触发 | |
| IAM.26 | 应移除 IAM 中管理的过期 SSL/TLS 证书 | 独联体AWS基金会基准 v5.0.0,独联体AWS基金会基准 v3.0.0 | 中 | 定期 | |
| IAM.27 | IAM 身份不应附加 AWSCloudShellFullAccess 策略 | 独联体AWS基金会基准 v5.0.0,独联体AWS基金会基准 v3.0.0 | 中 | 变更已触发 | |
| IAM.28 | 应启用 IAM Access Analyzer 外部访问分析器 | 独联体AWS基金会基准 v5.0.0,独联体AWS基金会基准 v3.0.0 | HIGH(高) | 定期 | |
| Inspector.1 | 应启用 Amazon Inspector EC2 扫描 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.2 | 应启用 Amazon Inspector ECR 扫描 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.3 | 应启用 Amazon Inspector Lambda 代码扫描 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.4 | 应启用 Amazon Inspector Lambda 标准扫描 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| IoT.1 | AWS IoT Device Defender应标记安全配置文件 | AWS资源标签标准 | 低 | 变更已触发 | |
| IoT.2 | AWS IoT Core应标记缓解措施 | AWS资源标签标准 | 低 | 变更已触发 | |
| IoT.3 | AWS IoT Core应该给尺寸加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| IoT.4 | AWS IoT Core应给授权者加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| IoT.5 | AWS IoT Core应标记角色别名 | AWS资源标签标准 | 低 | 变更已触发 | |
| IoT.6 | AWS IoT Core策略应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .1 | AWS IoT Events应标记输入 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .2 | AWS IoT Events应标记探测器型号 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .3 | AWS IoT Events应标记警报型号 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.1 | AWS IoT SiteWise应为资产模型加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.2 | AWS IoT SiteWise仪表板应该被标记 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.3 | AWS IoT SiteWise应该给网关加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.4 | AWS IoT SiteWise应该给门户加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.5 | AWS IoT SiteWise应该给项目加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.1 | AWS应标记 IoT TwinMaker 同步作业 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.2 | AWS应标 TwinMaker 记 IoT 工作空间 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.3 | AWS应标记物联网 TwinMaker 场景 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.4 | AWS应标记物联网 TwinMaker 实体 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .1 | AWS应标记 IoT Wireless 组播组 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .2 | AWS应标记 IoT Wireless 服务配置文件 | AWS资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .3 | AWS应标记 IoT Wireless FUOTA 任务 | AWS资源标签标准 | 低 | 变更已触发 | |
| IVS.1 | 应标记 IVS 播放密钥对 | AWS资源标签标准 | 低 | 变更已触发 | |
| IVS.2 | 应标记 IVS 录制配置 | AWS资源标签标准 | 低 | 变更已触发 | |
| IVS.3 | 应标记 IVS 频道 | AWS资源标签标准 | 低 | 变更已触发 | |
| Keyspaces.1 | 应标记 Amazon Keyspaces 密钥空间 | AWS资源标签标准 | 低 | 变更已触发 | |
| Kinesis.1 | Kinesis 直播应在静态状态下进行加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Kinesis.2 | 应标记 Kinesis 流 | AWS资源标签标准 | 低 | 变更已触发 | |
| Kinesis.3 | Kinesis 流应有足够的数据留存期 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| KMS.1 | IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| KMS.2 | IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| KMS.3 | AWS KMS keys不应无意中删除 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 关键 | |
变更已触发 |
| KMS.4 | AWS KMS key应该启用旋转 | 独联体AWS基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体AWS基金会基准 v1.2.0、NIST SP 800-53 修订版 5、PCI AWS DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期 |
| KMS.5 | KMS 密钥不应可公开访问 | AWS基础安全最佳实践 | 关键 | 变更已触发 | |
| Lambda.1 | Lambda 函数策略应禁止公共访问 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| Lambda.2 | Lambda 函数应使用受支持的运行时系统 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| Lambda.3 | Lambda 函数应位于 VPC 中 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Lambda.5 | VPC Lambda 函数应在多个可用区内运行 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Lambda.6 | 应标记 Lambda 函数 | AWS资源标签标准 | 低 | 变更已触发 | |
| Lambda.7 | Lambda 函数应启用AWS X-Ray主动跟踪 | NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| Macie.1 | 应启用 Amazon Macie | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| Macie.2 | 应启用 Macie 敏感数据自动发现 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| MSK.1 | MSK 集群应在代理节点之间传输时进行加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| MSK.2 | MSK 集群应配置增强监控 | NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| MSK.3 | 应在传输过程中加密 MSK Connect 连接器 | AWS基础安全最佳实践,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MSK.4 | MSK 集群应禁用公开访问 | AWS基础安全最佳实践 | 关键 | 变更已触发 | |
| MSK.5 | MSK 连接器应启用日志记录 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| MSK.6 | MSK 集群应禁用未经身份验证的访问 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| MQ.2 | ActiveMQ 代理应将审核日志流式传输到 CloudWatch | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.3 | Amazon MQ 代理应启用次要版本自动升级 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.4 | 应标记 Amazon MQ 代理 | AWS资源标签标准 | 低 | 变更已触发 | |
| MQ.5 | ActiveMQ 代理应该使用部署模式 active/standby | NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| MQ.6 | RabbitMQ 代理应该使用集群部署模式 | NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Neptune.1 | 应对 Neptune 数据库集群进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Neptune.2 | Neptune 数据库集群应将审核日志发布到日志 CloudWatch | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| Neptune.3 | Neptune 数据库集群快照不应公开 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| Neptune.4 | Neptune 数据库集群应启用删除保护 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Neptune.5 | Neptune 数据库集群应启用自动备份 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Neptune.6 | 应对 Neptune 数据库集群快照进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Neptune.7 | Neptune 数据库集群应启用 IAM 数据库身份验证 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Neptune.8 | 应将 Neptune 数据库集群配置为将标签复制到快照 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Neptune.9 | Neptune 数据库集群应部署在多个可用区中 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall1。 | Network Firewall 防火墙应跨多个可用区部署 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.2 | 应启用 Network Firewall 日志记录 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
定期 |
| NetworkFirewall.3 | Network Firewall 策略应至少关联一个规则组 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| NetworkFirewall.4 | Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.5 | Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| NetworkFirewall.6 | 无状态网络防火墙规则组不应为空 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| NetworkFirewall.7 | 应标记 Network Firewall 防火墙 | AWS资源标签标准 | 低 | 变更已触发 | |
| NetworkFirewall.8 | 应标记 Network Firewall 防火墙策略 | AWS资源标签标准 | 低 | 变更已触发 | |
| NetworkFirewall.9 | Network Firewall 防火墙应启用删除保护 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.10 | Network Firewall 防火墙应启用子网更改保护 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| Opensearch.1 | OpenSearch 域应启用静态加密 | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.2 | OpenSearch 域名不应该可供公众访问 | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | |
变更已触发 |
| Opensearch.3 | OpenSearch 域应加密节点之间发送的数据 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.4 | OpenSearch 应该启用记录到 CloudWatch 日志的域错误 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.5 | OpenSearch 域应启用审核日志 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| Opensearch.6 | OpenSearch 域应至少有三个数据节点 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.7 | OpenSearch 域名应启用细粒度访问控制 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| Opensearch.8 | 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| Opensearch.9 | OpenSearch 域名应该加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| Opensearch.10 | OpenSearch 域名应安装最新的软件更新 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| Opensearch.11 | OpenSearch 域应至少有三个专用的主节点 | NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| PCA.1 | AWS 私有 CA应禁用根证书颁发机构 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| PCA.2 | AWS应标记私有 CA 证书颁发机构 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.1 | RDS 快照应为私有快照 | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | |
变更已触发 |
| RDS.2 | 根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| RDS.3 | RDS 数据库实例应启用静态加密 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、AWS基础安全最佳AWS实践 v1.0.0、NIST SP 800-53 修订版 5 | 中 | |
变更已触发 |
| RDS.4 | RDS 集群快照和数据库快照应进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.5 | RDS 数据库实例应配置多个可用区 | CIS AWS Foundations Benchmark v5.0.0,AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.6 | 应为 RDS 数据库实例配置增强监控 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.7 | RDS 集群应启用删除保护 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.8 | RDS 数据库实例应启用删除保护 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.9 | RDS 数据库实例应将日志发布到 CloudWatch 日志 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.10 | 应为 RDS 实例配置 IAM 身份验证 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.11 | RDS 实例应启用自动备份 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.12 | 应为 RDS 集群配置 IAM 身份验证 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.13 | 应启用 RDS 自动次要版本升级 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| RDS.14 | Amazon Aurora 集群应启用回溯功能 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.15 | 应为多个可用区配置 RDS 数据库集群 | CIS AWS Foundations Benchmark v5.0.0,AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.16 | 应将 Aurora 数据库集群配置为将标签复制到数据库快照 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| RDS.17 | 应将 RDS 数据库实例配置为将标签复制到快照 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.18 | RDS 实例应部署在 VPC 中 | HIGH(高) | |
变更已触发 | |
| RDS.19 | 应为关键集群事件配置现有 RDS 事件通知订阅 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.20 | 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| RDS.21 | 应为关键数据库参数组事件配置 RDS 事件通知订阅 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| RDS.22 | 应为关键数据库安全组事件配置 RDS 事件通知订阅 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| RDS.23 | RDS 实例不应使用数据库引擎的默认端口 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.24 | RDS 数据库集群应使用自定义管理员用户名 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.25 | RDS 数据库实例应使用自定义管理员用户名 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.26 | RDS 数据库实例应受备份计划保护 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| RDS.27 | 应对 RDS 数据库集群进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.28 | 应标记 RDS 数据库集群 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.29 | 应标记 RDS 数据库集群快照 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.30 | 应标记 RDS 数据库实例 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.31 | 应标记 RDS 数据库安全组 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.32 | 应标记 RDS 数据库快照 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.33 | 应标记 RDS 数据库子网组 | AWS资源标签标准 | 低 | 变更已触发 | |
| RDS.34 | Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.35 | RDS 数据库集群应启用自动次要版本升级 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.36 | 适用于 PostgreSQL 的 RDS 数据库实例应将日志发布到日志 CloudWatch | AWS基础安全最佳实践,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.37 | Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch | AWS基础安全最佳实践,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.38 | RDS for PostgreSQL 数据库实例应在传输过程中加密 | AWS基础安全最佳实践 | 中 | 定期 | |
| RDS.39 | RDS for MySQL 数据库实例应在传输过程中加密 | AWS基础安全最佳实践 | 中 | 定期 | |
| RDS.40 | 适用于 SQL Server 数据库实例的 RDS 应将日志发布到 CloudWatch 日志 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| RDS.41 | RDS for SQL Server 数据库实例应在传输过程中加密 | AWS基础安全最佳实践 | 中 | 定期 | |
| RDS.42 | 适用于 MariaDB 的 RDS 数据库实例应将日志发布到日志 CloudWatch | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| RDS.43 | RDS 数据库代理应要求对连接进行 TLS 加密 | AWS基础安全最佳实践 | 中 | 定期 | |
| RDS.44 | RDS for MariaDB 数据库实例应在传输过程中加密 | AWS基础安全最佳实践 | 中 | 定期 | |
| RDS.45 | Aurora MySQL 数据库集群应启用审核日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| RDS.46 | RDS 数据库实例不应部署在具有通往互联网网关路由的公共子网中 | AWS基础安全最佳实践 | HIGH(高) | 定期 | |
| RDS.47 | 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照 | AWS基础安全最佳实践 | 低 | 变更已触发 | |
| RDS.48 | 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照 | AWS基础安全最佳实践 | 低 | 变更已触发 | |
| Redshift.1 | Amazon Redshift 集群应禁止公共访问 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| Redshift.2 | 与 Amazon Redshift 集群的连接应在传输过程中加密 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| Redshift.3 | Amazon Redshift 集群应启用自动快照 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.4 | Amazon Redshift 集群应启用审核日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| Redshift.6 | Amazon Redshift 应该启用自动升级到主要版本的功能 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.7 | Redshift 集群应使用增强型 VPC 路由 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.8 | Amazon Redshift 集群不应使用默认管理员用户名 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.10 | Redshift 集群应静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.11 | 应标记 Redshift 集群 | AWS资源标签标准 | 低 | 变更已触发 | |
| Redshift.12 | 应标记 Redshift 事件通知订阅 | AWS资源标签标准 | 低 | 变更已触发 | |
| Redshift.13 | 应标记 Redshift 集群快照 | AWS资源标签标准 | 低 | 变更已触发 | |
| Redshift.14 | 应标记 Redshift 集群子网组 | AWS资源标签标准 | 低 | 变更已触发 | |
| Redshift.15 | Redshift 安全组应仅允许从受限来源到集群端口的入口流量 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Redshift.16 | Redshift 集群子网组应具有来自多个可用区的子网 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Redshift.17 | 应标记 Redshift 集群参数组 | AWS资源标签标准 | 低 | 变更已触发 | |
| Redshift.18 | Redshift 集群应启用多可用区部署 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| RedshiftServerless1。 | Amazon Redshift Serverless 工作组应使用增强型 VPC 路由 | AWS基础安全最佳实践 | HIGH(高) | 定期 | |
| RedshiftServerless.2 | 连接到 Redshift Serverless 工作组时应需要使用 SSL | AWS基础安全最佳实践 | 中 | 定期 | |
| RedshiftServerless.3 | Redshift Serverless 工作组应禁止公开访问 | AWS基础安全最佳实践 | HIGH(高) | 定期 | |
| RedshiftServerless.4 | Redshift 无服务器命名空间应使用客户托管进行加密 AWS KMS keys | NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| RedshiftServerless.5 | Redshift Serverless 命名空间不应使用默认管理员用户名 | AWS基础安全最佳实践 | 中 | 定期 | |
| RedshiftServerless.6 | Redshift 无服务器命名空间应将日志导出到日志 CloudWatch | AWS基础安全最佳实践 | 中 | 定期 | |
| Route53.1 | 应标记 Route53 运行状况检查 | AWS资源标签标准 | 低 | 变更已触发 | |
| Route53.2 | Route 53 公共托管区域应记录 DNS 查询 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| S3.1 | S3 通用存储桶应启用屏蔽公共访问权限设置 | CIS AWS 基金会基准 v5.0.0、CIS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、AWS基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | 定期 | |
| S3.2 | S3 通用存储桶应阻止公共读取访问权限 | AWS基础安全最佳实践,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.3 | S3 通用存储桶应阻止公共写入访问权限 | AWS基础安全最佳实践,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.5 | S3 通用存储桶应需要请求才能使用 SSL | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、AWS基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.6 | S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 Rev. 2 | HIGH(高) | 变更已触发 | |
| S3.7 | S3 通用存储桶应使用跨区域复制 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.8 | S3 通用存储桶应屏蔽公共访问权限 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、AWS基础安全最佳实践、NIS AWS T SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| S3.9 | S3 通用存储桶应启用服务器访问日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.10 | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.11 | S3 存储桶应启用事件通知 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | 变更已触发 | |
| S3.12 | ACLs 不应用于管理用户对 S3 通用存储桶的访问权限 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| S3.13 | S3 通用存储桶应具有生命周期配置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 低 | 变更已触发 | |
| S3.14 | S3 通用存储桶应启用版本控制 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | 变更已触发 | |
| S3.15 | S3 通用存储桶应启用对象锁定 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.17 | S3 通用存储桶应使用静态加密 AWS KMS keys | NIST SP 800-53 Rev. 5,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.19 | S3 接入点应启用屏蔽公共访问权限设置 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | 变更已触发 | |
| S3.20 | S3 通用存储桶应启用 MFA 删除功能 | 独联体AWS基金会基准 v5.0.0、独联体AWS基金会基准 v3.0.0、独联体基金会基准 v1.4.0、NIS AWS T SP 800-53 修订版 5 | 低 | 变更已触发 | |
| S3.22 | S3 通用存储桶应记录对象级写入事件 | 独联体AWS基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | 定期 | |
| S3.23 | S3 通用存储桶应记录对象级读取事件 | 独联体AWS基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | 定期 | |
| S3.24 | S3 多区域接入点应启用屏蔽公共访问权限设置 | AWS基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| S3.25 | S3 目录存储桶应具有生命周期配置 | AWS基础安全最佳实践 | 低 | 变更已触发 | |
| SageMaker1。 | Amazon SageMaker 笔记本实例不应直接访问互联网 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| SageMaker.2 | SageMaker 笔记本实例应在自定义 VPC 中启动 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| SageMaker.3 | 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| SageMaker.4 | SageMaker 端点生产变体的初始实例数应大于 1 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| SageMaker.5 | SageMaker 模型应启用网络隔离 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| SageMaker.6 | SageMaker 应用映像配置应加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| SageMaker.7 | SageMaker 应给图片加标签 | AWS资源标签标准 | 低 | 变更已触发 | |
| SageMaker.8 | SageMaker 笔记本实例应在支持的平台上运行 | AWS基础安全最佳实践 | 中 | 定期 | |
| SecretsManager1。 | Secrets Manager 密钥应启用自动轮换 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| SecretsManager.2 | 配置自动轮换的 Secrets Manager 密钥应成功轮换 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| SecretsManager.3 | 移除未使用 Secrets Manager 密钥 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | |
定期 |
| SecretsManager.4 | Secrets Manager 密钥应在指定的天数内轮换 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| SecretsManager.5 | 应标记 Secrets Manager 密钥 | AWS资源标签标准 | 低 | 变更已触发 | |
| ServiceCatalog1。 | Service Catalog 产品组合只能在AWS组织内部共享 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 定期 | |
| SES.1 | 应标记 SES 联系人名单 | AWS资源标签标准 | 低 | 变更已触发 | |
| SES.2 | 应标记 SES 配置集 | AWS资源标签标准 | 低 | 变更已触发 | |
| SES.3 | SES 配置集应启用 TLS 以发送电子邮件 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| SNS.1 | SNS 主题应使用以下方法进行静态加密 AWS KMS | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | 变更已触发 | |
| SNS.3 | 应标记 SNS 主题 | AWS资源标签标准 | 低 | 变更已触发 | |
| SNS.4 | SNS 主题访问策略不应允许公共访问 | AWS基础安全最佳实践 | 关键 | 变更已触发 | |
| SQS.1 | 应对 Amazon SQS 队列进行静态加密 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| SQS.2 | 应标记 SQS 队列 | AWS资源标签标准 | 低 | 变更已触发 | |
| SQS.3 | SQS 队列访问策略不应允许公开访问 | AWS基础安全最佳实践 | 关键 | 变更已触发 | |
| SSM.1 | EC2 实例应由以下人员管理 AWS Systems Manager | AWS基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| SSM.2 | EC2 安装补丁后,由 Systems Manager 管理的实例的补丁合规性状态应为 “合规” | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v3.2.1,PCI DSS v4.0.1,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| SSM.3 | EC2 由 Systems Manager 管理的实例的关联合规性状态应为 “合规” | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| SSM.4 | SSM 文档不应公开 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 关键 | |
定期 |
| SSM.5 | 应标记 SSM 文档 | AWS资源标签标准 | 低 | 变更已触发 | |
| SSM.6 | SSM 自动化应该 CloudWatch 启用日志记录 | AWS基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| SSM.7 | SSM 文档应启用“阻止公开共享”设置 | AWS基础安全最佳实践 v1.0.0 | 关键 | 定期 | |
| StepFunctions1。 | Step Functions 状态机应该开启日志功能 | AWS基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| StepFunctions.2 | 应标记 Step Functions 活动 | AWS资源标签标准 | 低 | 变更已触发 | |
| Transfer.1 | 应标记 Transfer Family 工作流程 | AWS资源标签标准 | 低 | 变更已触发 | |
| Transfer.2 | Transfer Family 服务器不应使用 FTP 协议进行端点连接 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| 转账。3 | Transfer Family 连接器应启用日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | 变更已触发 | |
| 转账。4 | 应标记 Transfer Family 协议 | AWS资源标签标准 | 低 | 变更已触发 | |
| 转账.5 | 应标记 Transfer Family 证书 | AWS资源标签标准 | 低 | 变更已触发 | |
| Transfer.6 | 应标记 Transfer Family 连接器 | AWS资源标签标准 | 低 | 变更已触发 | |
| Transfer.7 | 应标记 Transfer Family 配置文件 | AWS资源标签标准 | 低 | 变更已触发 | |
| WAF.1 | AWS应启用 WAF 经典版全球 Web ACL 日志记录 | AWS基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| WAF.2 | AWSWAF 经典区域规则应至少有一个条件 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.3 | AWSWAF 经典区域规则组应至少有一条规则 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.4 | AWSWAF 经典区域网站 ACLs 应至少有一个规则或规则组 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.6 | AWSWAF Classic 全局规则应至少有一个条件 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.7 | AWSWAF Classic 全局规则组应至少有一条规则 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.8 | AWSWAF Classic 全球网站 ACLs 应至少有一个规则或规则组 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.10 | AWSWAF Web ACLs 应至少有一个规则或规则组 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.11 | AWS应启用 WAF 网络 ACL 日志记录 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
定期 |
| WAF.12 | AWSWAF 规则应启用 CloudWatch 指标 | AWS基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | |
变更已触发 |
| WorkSpaces1。 | WorkSpaces 用户卷应在静态时加密 | AWS基础安全最佳实践 | 中 | 变更已触发 | |
| WorkSpaces.2 | WorkSpaces 根卷应在静态时加密 | AWS基础安全最佳实践 | 中 | 变更已触发 |
