适用于 CMC 级别 1 的运营最佳实践 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 CMC 级别 1 的运营最佳实践

一致性包提供了通用的合规性框架,旨在使您能够使用托管或自定义 AWS Config 规则以及 AWS Config 修正操作来创建安全、操作或成本优化监管检查。作为示例模板的一致性包并非旨在完全确保符合特定监管或合规性标准。您负责评估您对服务的使用是否符合适用的法律法规要求。

下面提供了 Cybersecurity Maturity Model Certification (CMMC) Level 1 和 AWS Managed Config 规则之间的示例映射。每个 Config 规则适用于特定的 AWS 资源,并且与一个或多个 CMC 级别 1 控制相关。一个 CMC 级别 1 控制可与多个 Config 规则相关。有关与这些映射相关的更多详细信息和指导,请参阅下表。

此一致性包已由 AWS Security Assurance Services LLC (AWS SAS) 验证,AWS SAS 是一个由支付卡行业合格安全评估程序 (QSA)、HITRUST 认证通用安全框架练习程序 (CCSFP) 和合规性专家组成的团队,这些专家通过了认证,可提供针对各种行业框架的指导和评估。AWS SAS 专业人员设计此一致性包,以使客户能够与 CMC 级别 1 的子集保持一致。

AWS 区域: 所有支持的 AWS 区域(中东(巴林) 除外)

控制 ID 控制描述 AWS Config 规则 指南
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和互联网安全中心 (CIS) AWS 基金会基准规定的密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您利用访问权限和授权的最小特权和责任原则,从而限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助遵循最少功能原则。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需权限更多的权限可能会违反最低权限和职责共担原则。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可包含敏感信息,并且此类账户需要访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,在 AWS 云中管理对资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低特权和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

ec2-imdsv2-check

确保启用了实例元数据服务版本 2 (IMDSv2) 方法,以保护对 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。方法使用基于会话的控件。IMDSv2借助 IMDSv2,可以实施控制以限制对实例元数据的更改。
AC1.001 限制对授权用户的信息系统访问,处理代表授权用户或设备(包括其他信息系统)的操作。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和互联网安全中心 (CIS) AWS 基金会基准规定的密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您利用访问权限和授权的最小特权和责任原则,从而限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助遵循最少功能原则。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需权限更多的权限可能会违反最低权限和职责共担原则。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,在 AWS 云中管理对资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。有关捕获的数据的详细信息,请参阅 AWS CloudTrail 记录内容中。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低特权和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您组织的策略。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和互联网安全中心 (CIS) AWS 基金会基准规定的密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低特权和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,在 AWS 云中管理对资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
SC.1.176 - 为与内部网络物理或逻辑上分离的可公开访问的系统组件实施子网工作。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SI.1.210 及时识别、报告和更正信息和信息系统缺陷。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
SI.1.210 及时识别、报告和更正信息和信息系统缺陷。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI.1.210 及时识别、报告和更正信息和信息系统缺陷。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI.1.211 从组织信息系统中的适当位置提供来自恶意代码的保护。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
SI.1.211 从组织信息系统中的适当位置提供来自恶意代码的保护。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。

Template

该模板在 GitHub 上可用: CMC 级别 1 的 操作最佳实践。