Security Hub 控件参考 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件参考

此控件参考提供了可用 Amazon Security Hub 控件的列表,以及指向有关每个控件的更多信息的链接。概览表按控件 ID 按字母顺序显示控件。此处仅包含 Security Hub 正在使用的控件。已停用的控件不在此列表中。该表提供了每个控件的以下信息:

  • 安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的 Amazon Web Services 服务 和资源。无论您的账户中开启还是关闭了整合控制结果 IDs,Security Hub 控制台都会显示安全控制。但是,IDs只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制。如果在您的账户中关闭了合并控制结果,则控制结果中的某些控制措施IDs会因标准而异。有关特定于标准的控制与安全控制IDs的映射IDs,请参阅。整合如何影响控制权IDs和所有权

    如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控制IDs保持不变。

    控件IDs可能会跳过数字。这些是未来控件的占位符。

  • 适用标准——指明控件适用于哪些标准。选择一个控件以查看第三方合规性框架的具体要求。

  • 安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub 控制台都会显示安全控件标题。但是,只有在账户中启用了整合的控件调查发现时,Security Hub 的调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定于标准的控制与安全控制IDs的映射IDs,请参阅。整合如何影响控制权IDs和所有权

  • 严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅 为控件调查发现分配严重性

  • 计划类型——指明何时评估控件。有关更多信息,请参阅 有关运行安全检查的计划

  • 支持自定义参数-指示控件是否支持一个或多个参数的自定义值。选择一个控件以查看参数的详细信息。有关更多信息,请参阅 了解 Security Hub 中的控制参数

选择一个控件以查看更多详细信息。控件按服务名称的字母顺序列出。

安全控件 ID 安全控件标题 适用标准 严重性 支持自定义参数 计划类型
Account.1 应为以下人员提供安全联系信息 Amazon Web Services 账户 CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST MEDIUM 没有 定期
Account.2 Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分 NISTSP 800-53 Rev. 5 HIGH 没有 定期
ACM.1 导入和ACM签发的证书应在指定的时间段后续订 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发且定期进行
ACM.2 RSA由管理的证书ACM应使用至少 2,048 位的密钥长度 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 变更已触发
ACM.3 ACM应该给证书加标签 Amazon 资源标签标准 LOW 变更已触发
APIGateway.1 API应启用网关REST和 WebSocket API执行日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
APIGateway.2 API应将网关RESTAPI阶段配置为使用SSL证书进行后端身份验证 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
APIGateway.3 API网关RESTAPI阶段应启用跟 Amazon X-Ray 踪 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
APIGateway.4 API网关应与 WAF Web 关联 ACL Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
APIGateway.5 API网关RESTAPI缓存数据应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
APIGateway.8 API网关路由应指定授权类型 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 定期
APIGateway.9 应为 API Gateway V2 阶段配置访问日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
AppSync.2 Amazon AppSync 应该启用字段级日志记录 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 变更已触发
AppSync.4 Amazon AppSync APIs应标记 GraphQL Amazon 资源标签标准 LOW 变更已触发
AppSync.5 Amazon AppSync APIs不应使用密钥对 GraphQL 进行身份验证 API Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 变更已触发
雅典娜.2 应标记 Athena 数据目录 Amazon 资源标签标准 LOW 变更已触发
雅典娜.3 应标记 Athena 工作组 Amazon 资源标签标准 LOW 变更已触发
雅典娜.4 Athena 工作组应该启用日志记录 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
AutoScaling.1 与负载均衡器关联的 Auto Scaling 组应使用运行ELB状况检查 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST LOW 没有 变更已触发
AutoScaling.2 Amazon A EC2 uto Scaling 组应覆盖多个可用区域 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
AutoScaling.3 Auto Scaling 组启动配置应将EC2实例配置为需要实例元数据服务版本 2 (IMDSv2) Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
Autoscaling.5 使用 Auto Scaling 群组启动配置启动的亚马逊EC2实例不应具有公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
AutoScaling.6 自动扩缩组组应在多个可用区中使用多种实例类型 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
AutoScaling.9 EC2Auto Scaling 群组应使用EC2启动模板 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
AutoScaling.10 EC2应标记 Auto Scaling 群组 Amazon 资源标签标准 LOW 变更已触发
Backup.1 Amazon Backup 恢复点应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
Backup.2 Amazon Backup 应标记恢复点 Amazon 资源标签标准 LOW 变更已触发
备份。3 Amazon Backup 应给保管库加标签 Amazon 资源标签标准 LOW 变更已触发
备份。4 Amazon Backup 报告计划应加标签 Amazon 资源标签标准 LOW 变更已触发
备份。5 Amazon Backup 应标记备份计划 Amazon 资源标签标准 LOW 变更已触发
CloudFormation.2 CloudFormation 堆栈应该被标记 Amazon 资源标签标准 LOW 变更已触发
CloudFront.1 CloudFront 发行版应该配置一个默认的根对象 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 变更已触发
CloudFront.3 CloudFront 发行版在传输过程中应要求加密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
CloudFront.4 CloudFront 发行版应配置源站故障转移 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
CloudFront.5 CloudFront 发行版应该启用日志记录 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
CloudFront.6 CloudFront 发行版应该已WAF启用 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
CloudFront.7 CloudFront 发行版应使用自定义SSL/TLS证书 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
CloudFront.8 CloudFront 应使用发行版SNI来处理HTTPS请求 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
CloudFront.9 CloudFront 发行版应加密发往自定义来源的流量 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
CloudFront.10 CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的SSL协议 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
CloudFront.12 CloudFront 发行版不应指向不存在的 S3 来源 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 定期
CloudFront.13 CloudFront 发行版应使用源站访问控制 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
CloudFront.14 CloudFront 应该给发行版加标签 Amazon 资源标签标准 LOW 变更已触发
CloudTrail.1 CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST HIGH 没有 定期
CloudTrail.2 CloudTrail 应该启用静态加密 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST MEDIUM 没有 定期
CloudTrail.3 至少应启用一条 CloudTrail 跟踪 PCIDSSv3.2.1 HIGH 没有 定期
CloudTrail.4 CloudTrail 应启用日志文件验证 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST LOW 没有 定期
CloudTrail.5 CloudTrail 跟踪应与 Amazon CloudWatch 日志集成 CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,v PCI DSS 3.2.1,Foundations Benchmark v1.4.0 Amazon Control Tower,SP 800-53 Rev. 5 CIS Amazon NIST LOW 没有 定期
CloudTrail.6 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 CRITICAL 没有 变更已触发且定期进行
CloudTrail.7 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.2.0、CIS Amazon 基金会基准测试 v1.4.0 CIS Amazon LOW 没有 定期
CloudTrail.9 CloudTrail 路径应该被标记 Amazon 资源标签标准 LOW 变更已触发
CloudWatch.1 应具有有关“根”用户使用的日志指标筛选条件和警报 CIS Amazon 基金会基准 v1.2.0、v PCI DSS 3.2.1、Foundations Benchmark v1.4.0 CIS Amazon LOW 没有 定期
CloudWatch.2 确保存在针对未经授权的API呼叫的日志指标筛选器和警报 CIS Amazon 基金会基准测试 v1.2.0 LOW 没有 定期
CloudWatch.3 确保管理控制台登录时存在日志指标筛选器和警报 MFA CIS Amazon 基金会基准测试 v1.2.0 LOW 没有 定期
CloudWatch.4 确保存在针对IAM策略变更的日志指标筛选器和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.5 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.6 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.7 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.8 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.9 确保存在 Amazon Config 配置更改的日志指标筛选器和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.10 确保存在关于安全组更改的日志指标筛选条件和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.11 确保存在针对网络访问控制列表更改的日志指标筛选器和警报 (NACL) CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.12 确保存在关于网络网关更改的日志指标筛选条件和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.13 确保存在关于路由表更改的日志指标筛选条件和警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.14 确保存在日志指标筛选器和VPC变更警报 CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 LOW 没有 定期
CloudWatch.15 CloudWatch 警报应配置指定的操作 NISTSP 800-53 Rev. 5 HIGH 变更已触发
CloudWatch.16 CloudWatch 日志组应在指定的时间段内保留 NISTSP 800-53 Rev. 5 MEDIUM 定期
CloudWatch.17 CloudWatch 应启用警报操作 NISTSP 800-53 Rev. 5 HIGH 没有 变更已触发
CodeArtifact.1 CodeArtifact 存储库应该被标记 Amazon 资源标签标准 LOW 变更已触发
CodeBuild.1 CodeBuild Bitbucket 源存储库URLs不应包含敏感凭据 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发
CodeBuild.2 CodeBuild 项目环境变量不应包含明文凭证 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发
CodeBuild.3 CodeBuild 应对 S3 日志进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
CodeBuild.4 CodeBuild 项目环境应该有日志配置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
CodeBuild.7 CodeBuild 报告组导出应进行静态加密 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
Config.1 Amazon Config 应该启用并使用服务相关角色进行资源记录 CIS Amazon 基金会基准 v3.0.0、Foundations Benchmark v1.4.0、CIS Amazon Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、SP 800-53 Rev. 5、v3.2.1 NIST PCI DSS MEDIUM 定期
DataFirehose.1 Firehose 传输流应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
DataSync.1 DataSync 任务应该启用日志记录 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
侦探。1 应标记 Detective 行为图 Amazon 资源标签标准 LOW 变更已触发
DMS.1 Database Migration Service 复制实例不应公开 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 定期
DMS.2 DMS应该给证书加标签 Amazon 资源标签标准 LOW 变更已触发
DMS.3 DMS活动订阅应加标签 Amazon 资源标签标准 LOW 变更已触发
DMS.4 DMS应标记复制实例 Amazon 资源标签标准 LOW 变更已触发
DMS.5 DMS应标记复制子网组 Amazon 资源标签标准 LOW 变更已触发
DMS.6 DMS复制实例应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DMS.7 DMS目标数据库的复制任务应启用日志记录 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DMS.8 DMS源数据库的复制任务应启用日志记录 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DMS.9 DMS端点应该使用 SSL Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DMS.10 DMSNeptune 数据库的端点应启用授权 IAM Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DMS.11 DMSMongoDB 的端点应启用身份验证机制 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DMS.12 DMSRedis 的终端节点OSS应该已经TLS启用 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DocumentDB.1 Amazon DocumentDB 集群应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 没有 变更已触发
DocumentDB.2 Amazon DocumentDB 集群应有足够的备份保留期 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 变更已触发
DocumentDB.3 Amazon DocumentDB 手动集群快照不应公开 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST CRITICAL 没有 变更已触发
DocumentDB.4 Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DocumentDB.5 Amazon DocumentDB 集群应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DynamoDB.1 DynamoDB 表应根据需求自动扩展容量 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 定期
DynamoDB.2 DynamoDB 表应该启用恢复功能 point-in-time Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
DynamoDB.3 DynamoDB 加速器 DAX () 集群应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
DynamoDB.4 备份计划中应有 DynamoDB 表 NISTSP 800-53 Rev. 5 MEDIUM 定期
DynamodB.5 应标记 DynamoDB 表 Amazon 资源标签标准 LOW 变更已触发
DynamodB.6 DynamoDB 表应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
DynamodB.7 DynamoDB 加速器集群应在传输过程中进行加密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
EC2.1 EBS快照不应公开恢复 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 定期
EC2.2 VPC默认安全组不应允许入站或出站流量 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST HIGH 没有 变更已触发
EC2.3 附加的EBS卷应在静态时进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
EC2.4 应在指定的时间段后移除已停止的EC2实例 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 定期
EC2.6 VPC应全部启用流日志 VPCs CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST MEDIUM 没有 定期
EC2.7 EBS应启用默认加密 CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 CIS Amazon NIST MEDIUM 没有 定期
EC2.8 EC2实例应使用实例元数据服务版本 2 (IMDSv2) CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST HIGH 没有 变更已触发
EC2.9 EC2实例不应有公共IPv4地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
EC2.10 EC2应将亚马逊配置为使用为亚马逊EC2服务创建的VPC终端节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 定期
EC2.12 EC2EIPs应移除未使用的内容 PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 LOW 没有 变更已触发
EC2.13 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 CIS Amazon Foundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 HIGH 没有 变更已触发且定期进行
EC2.14 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 CIS Amazon 基金会基准测试 v1.2.0 HIGH 没有 变更已触发且定期进行
EC2.15 EC2子网不应自动分配公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
EC2.16 应删除未使用的网络访问控制列表 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
EC2.17 EC2实例不应使用多个 ENIs Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
EC2.18 安全组应仅允许授权端口不受限制的传入流量 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 变更已触发
EC2.19 安全组不应允许无限制地访问高风险端口 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST CRITICAL 没有 变更已触发且定期进行
EC2.20 Amazon Site-to-Site VPN连接的两VPN条隧道都应处于开启状态 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
EC2.21 网络ACLs不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST MEDIUM 没有 变更已触发
EC2.22 应移除未使用的EC2安全组 服务管理标准: Amazon Control Tower MEDIUM 没有 定期
EC2.23 EC2传输网关不应自动接受VPC附件请求 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 变更已触发
EC2.24 EC2不应使用半虚拟化实例类型 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
EC2.25 EC2启动模板不应将公共分配IPs给网络接口 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
EC2.28 EBS卷应在备份计划中 NISTSP 800-53 Rev. 5 LOW 定期
EC2.33 EC2应标记公交网关附件 Amazon 资源标签标准 LOW 变更已触发
EC2.34 EC2应标记公交网关路由表 Amazon 资源标签标准 LOW 变更已触发
EC2.35 EC2应标记网络接口 Amazon 资源标签标准 LOW 变更已触发
EC2.36 EC2应标记客户网关 Amazon 资源标签标准 LOW 变更已触发
EC2.37 EC2应标记弹性 IP 地址 Amazon 资源标签标准 LOW 变更已触发
EC2.38 EC2应该给实例加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.39 EC2应该给互联网网关加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.40 EC2NAT应该给网关加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.41 EC2网络ACLs应该被标记 Amazon 资源标签标准 LOW 变更已触发
EC2.42 EC2应该对路由表进行标记 Amazon 资源标签标准 LOW 变更已触发
EC2.43 EC2应该给安全组加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.44 EC2应该给子网加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.45 EC2应为卷加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.46 VPCs应该给亚马逊贴上标签 Amazon 资源标签标准 LOW 变更已触发
EC2.47 应标记 Amazon VPC 终端节点服务 Amazon 资源标签标准 LOW 变更已触发
EC2.48 应标记 Amazon VPC 流日志 Amazon 资源标签标准 LOW 变更已触发
EC2.49 应VPC标记 Amazon 对等互连连接 Amazon 资源标签标准 LOW 变更已触发
EC2.50 EC2VPN应该给网关加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.51 EC2客户端VPN端点应启用客户端连接日志记录 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
EC2.52 EC2应为中转网关加标签 Amazon 资源标签标准 LOW 变更已触发
EC2.53 EC2安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口 CIS Amazon 基金会基准测试 v3.0.0 HIGH 没有 定期
EC2.54 EC2安全组不应允许从:: /0 进入远程服务器管理端口 CIS Amazon 基金会基准测试 v3.0.0 HIGH 没有 定期
ECR.1 ECR私有存储库应配置图像扫描 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 定期
ECR.2 ECR私有存储库应配置标签不可变性 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ECR.3 ECR存储库应至少配置一个生命周期策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ECR.4 ECR应标记公共存储库 Amazon 资源标签标准 LOW 变更已触发
ECS.1 Amazon ECS 任务定义应具有安全联网模式和用户定义。 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
ECS.2 ECS服务不应自动分配公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
ECS.3 ECS任务定义不应共享主机的进程命名空间 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
ECS.4 ECS容器应以非特权身份运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
ECS.5 ECS应将容器限制为对根文件系统的只读访问权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
ECS.8 密钥不应作为容器环境变量传递 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
ECS.9 ECS任务定义应该有日志配置 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 变更已触发
ECS.10 ECSFargate 服务应在最新的 Fargate 平台版本上运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ECS.12 ECS集群应使用容器见解 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ECS.13 ECS应该给服务加标签 Amazon 资源标签标准 LOW 变更已触发
ECS.14 ECS应该给集群加标签 Amazon 资源标签标准 LOW 变更已触发
ECS.15 ECS应标记任务定义 Amazon 资源标签标准 LOW 变更已触发
ECS.16 ECS任务集不应自动分配公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 变更已触发
EFS.1 弹性文件系统应配置为使用以下方法加密静态文件数据 Amazon KMS CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST MEDIUM 没有 定期
EFS.2 Amazon EFS 卷应包含在备份计划中 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 定期
EFS.3 EFS接入点应强制使用根目录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
EFS.4 EFS接入点应强制使用用户身份 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
EFS.5 EFS应标记接入点 Amazon 资源标签标准 LOW 变更已触发
EFS.6 EFS装载目标不应与公有子网关联 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 定期
EFS.7 EFS文件系统应启用自动备份 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
EKS.1 EKS集群终端节点不应公开访问 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 定期
EKS.2 EKS集群应该在支持的 Kubernetes 版本上运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
EKS.3 EKS集群应该使用加密的 Kubernetes 机密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
EKS.6 EKS应该给集群加标签 Amazon 资源标签标准 LOW 变更已触发
EKS.7 EKS应标记身份提供商配置 Amazon 资源标签标准 LOW 变更已触发
EKS.8 EKS集群应启用审核日志 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
ElastiCache.1 ElastiCache (RedisOSS) 集群应启用自动备份 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 定期
ElastiCache.2 ElastiCache (RedisOSS) 集群应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 定期
ElastiCache.3 ElastiCache 复制组应启用自动故障切换 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
ElastiCache.4 ElastiCache 复制组应为 encrypted-at-rest Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
ElastiCache.5 ElastiCache 复制组应为 encrypted-in-transit Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
ElastiCache.6 ElastiCache 早期版本的 (RedisOSS) 复制组应启用 Redis OSS AUTH Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
ElastiCache.7 ElastiCache 群集不应使用默认子网组 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 定期
ElasticBeanstalk.1 Elastic Beanstalk 环境应启用增强型运行状况报告 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
ElasticBeanstalk.2 应启用 Elastic Beanstalk 托管平台更新 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 变更已触发
ElasticBeanstalk.3 Elastic Beanstalk 应该将日志流式传输到 CloudWatch Amazon 基础安全最佳实践 v1.0.0 HIGH 变更已触发
ELB.1 应将 Application Load Balancer 配置为将所有HTTP请求重定向到 HTTPS Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST MEDIUM 没有 定期
ELB.2 带SSL/HTTPS监听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.3 Classic Load Balancer 侦听器应配置为HTTPS或终止 TLS Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.4 应将应用程序负载均衡器配置为删除 http 标头 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.5 应启用应用程序和经典负载均衡器日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.6 应用程序、网关和网络负载均衡器应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.7 经典负载均衡器应启用连接耗尽功能 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.8 带有SSL侦听器的经典负载均衡器应使用具有强配置的预定义安全策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.9 经典负载均衡器应启用跨区域负载均衡器 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.10 经典负载均衡器应跨越多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
ELB.12 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.13 应用程序、网络和网关负载均衡器应跨越多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
ELB.14 经典负载均衡器应配置为防御性或最严格的异步缓解模式 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ELB.16 应用程序负载均衡器应与 Web 关联 Amazon WAF ACL NISTSP 800-53 Rev. 5 MEDIUM 没有 变更已触发
EMR.1 Amazon EMR 集群主节点不应有公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 定期
EMR.2 应启用 Amazon EMR 禁止公开访问设置 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST CRITICAL 没有 定期
ES.1 Elasticsearch 域应启用静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST MEDIUM 没有 定期
ES.2 Elasticsearch 域名不可供公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 定期
ES.3 Elasticsearch 域应加密节点之间发送的数据 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ES.4 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ES.5 Elasticsearch 域名应该启用审核日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ES.6 Elasticsearch 域应拥有至少三个数据节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ES.7 Elasticsearch 域应配置至少三个专用主节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ES.8 与 Elasticsearch 域的连接应使用最新的TLS安全策略进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
ES.9 应标记 Elasticsearch 域名 Amazon 资源标签标准 LOW 变更已触发
EventBridge.2 EventBridge 应标记活动总线 Amazon 资源标签标准 LOW 变更已触发
EventBridge.3 EventBridge 自定义事件总线应附加基于资源的策略 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
EventBridge.4 EventBridge 全局端点应启用事件复制 NISTSP 800-53 Rev. 5 MEDIUM 没有 变更已触发
FSx.1 FSx对于 O ZFS pen 文件系统,应配置为将标签复制到备份和卷 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 定期
FSx.2 FSx对于 Lustre 文件系统,应配置为将标签复制到备份 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 定期
胶水。1 Amazon Glue 应该给工作加标签 Amazon 资源标签标准 LOW 变更已触发
胶水。2 Amazon Glue 作业应该启用日志记录 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
胶水。3 Amazon Glue 机器学习转换应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
GlobalAccelerator.1 应标记全球加速器加速器 Amazon 资源标签标准 LOW 变更已触发
GuardDuty.1 GuardDuty 应该启用 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST HIGH 没有 定期
GuardDuty.2 GuardDuty 应该给过滤器加标签 Amazon 资源标签标准 LOW 变更已触发
GuardDuty.3 GuardDuty IPSets应该被标记 Amazon 资源标签标准 LOW 变更已触发
GuardDuty.4 GuardDuty 应给探测器加标签 Amazon 资源标签标准 LOW 变更已触发
GuardDuty.5 GuardDuty EKS应启用 “审计日志监控” Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
GuardDuty.6 GuardDuty 应启用 Lambda 保护 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
GuardDuty.7 GuardDuty EKS应启用 “运行时监控” Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 定期
GuardDuty.8 GuardDuty EC2应启用恶意软件防护 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
GuardDuty.9 GuardDuty RDS应启用保护 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
GuardDuty.10 GuardDuty 应启用 S3 保护 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
IAM.1 IAM策略不应允许完全的 “*” 管理权限 CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,v PCI DSS 3.2.1,Foundations Benchmark v1.4.0 Amazon Control Tower,SP 800-53 Rev. 5 CIS Amazon NIST HIGH 没有 变更已触发
IAM.2 IAM用户不应附加IAM策略 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST LOW 没有 变更已触发
IAM.3 IAM用户的访问密钥应每 90 天或更短时间轮换一次 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST MEDIUM 没有 定期
IAM.4 IAMroot 用户访问密钥不应存在 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST CRITICAL 没有 定期
IAM.5 MFA应该为所有拥有控制台密码的IAM用户启用 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST MEDIUM 没有 定期
IAM.6 MFA应为 root 用户启用硬件 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST CRITICAL 没有 定期
IAM.7 IAM用户的密码策略应具有很强的配置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 定期
IAM.8 应删除未使用的IAM用户凭证 CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Rev. 5 PCI DSS NIST MEDIUM 没有 定期
IAM.9 MFA应该为 root 用户启用 CIS Amazon Foundations Benchmark v3.0.0、Found CIS Amazon ations Benchmark v1.4.0、CIS Amazon v3.2.1、SP 800-53 Rev. 5 PCI DSS NIST CRITICAL 没有 定期
IAM.10 IAM用户的密码策略应具有很强的配置 PCIDSSv3.2.1 MEDIUM 没有 定期
IAM.11 确保IAM密码策略至少需要一个大写字母 CIS Amazon 基金会基准测试 v1.2.0 MEDIUM 没有 定期
IAM.12 确保IAM密码策略至少需要一个小写字母 CIS Amazon 基金会基准测试 v1.2.0 MEDIUM 没有 定期
IAM.13 确保IAM密码策略至少需要一个符号 CIS Amazon 基金会基准测试 v1.2.0 MEDIUM 没有 定期
IAM.14 确保IAM密码策略至少需要一个数字 CIS Amazon 基金会基准测试 v1.2.0 MEDIUM 没有 定期
IAM.15 确保IAM密码策略要求的最小密码长度为 14 或更大 CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.4.0、CIS Amazon 基金会基准测试 v1.2.0 CIS Amazon MEDIUM 没有 定期
IAM.16 确保IAM密码策略防止密码重复使用 CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.4.0、CIS Amazon 基金会基准测试 v1.2.0 CIS Amazon LOW 没有 定期
IAM.17 确保IAM密码策略在 90 天或更短时间内使密码过期 CIS Amazon 基金会基准测试 v1.2.0 LOW 没有 定期
IAM.18 确保已创建支持角色来管理事件 Amazon Web Services Support CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.4.0、CIS Amazon 基金会基准测试 v1.2.0 CIS Amazon LOW 没有 定期
IAM.19 MFA应该为所有IAM用户启用 PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 MEDIUM 没有 定期
IAM.21 IAM您创建的客户托管策略不应允许对服务执行通配符操作 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
IAM.22 IAM应删除在 45 天内未使用的用户凭证 CIS Amazon 基金会基准 v3.0.0,CIS Amazon 基金会基准测试 v1.4.0 MEDIUM 没有 定期
IAM.23 IAM应标记 Access Analyzer 分析器 Amazon 资源标签标准 LOW 变更已触发
IAM.24 IAM应该给角色加标签 Amazon 资源标签标准 LOW 变更已触发
IAM.25 IAM应该给用户加标签 Amazon 资源标签标准 LOW 变更已触发
IAM.26 IAM应移除已过期 SSL /中管理的TLS证书 CIS Amazon 基金会基准测试 v3.0.0 MEDIUM 没有 定期
IAM.27 IAM身份不应附带 AWSCloudShellFullAccess 政策 CIS Amazon 基金会基准测试 v3.0.0 MEDIUM 没有 变更已触发
IAM.28 IAM应启用访问分析器外部访问分析器 CIS Amazon 基金会基准测试 v3.0.0 HIGH 没有 定期
检查员 1 应启用 Amazon Inspector EC2 扫描 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
检查员 2 应启用 Amazon Inspector ECR 扫描 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
检查员 3 应启用 Amazon Inspector Lambda 代码扫描 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
检查员。4 应启用 Amazon Inspector Lambda 标准扫描 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
IoT.1 Amazon IoT Device Defender 应标记安全配置文件 Amazon 资源标签标准 LOW 变更已触发
IoT.2 Amazon IoT Core 应标记缓解措施 Amazon 资源标签标准 LOW 变更已触发
IoT.3 Amazon IoT Core 应给尺寸加标签 Amazon 资源标签标准 LOW 变更已触发
IoT.4 Amazon IoT Core 应给授权者加标签 Amazon 资源标签标准 LOW 变更已触发
IoT.5 Amazon IoT Core 应标记角色别名 Amazon 资源标签标准 LOW 变更已触发
IoT.6 Amazon IoT Core 策略应该被标记 Amazon 资源标签标准 LOW 变更已触发
Kinesis.1 Kinesis 直播应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Kinesis.2 应标记 Kinesis 直播内容 Amazon 资源标签标准 LOW 变更已触发
Kinesis.3 Kinesis 直播应有足够的数据保留期 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 变更已触发
KMS.1 IAM客户托管策略不应允许对所有密钥执行解密操作 KMS Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
KMS.2 IAM委托人不应有允许对所有密钥进行解密操作的IAM内联策略 KMS Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
KMS.3 Amazon KMS keys 不应无意中删除 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST CRITICAL 没有 变更已触发
KMS.4 Amazon KMS key 应该启用旋转 CIS Amazon Foundations Benchmark v3.0.0、Found CIS Amazon ations Benchmark v1.4.0、CIS Amazon v3.2.1、SP 800-53 Rev. 5 PCI DSS NIST MEDIUM 没有 定期
Lambda.1 Lambda 函数策略应禁止公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发
Lambda.2 Lambda 函数应使用受支持的运行时系统 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Lambda.3 Lambda 函数应该在 VPC PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 LOW 没有 变更已触发
Lambda.5 VPCLambda 函数应在多个可用区中运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
Lambda.6 应标记 Lambda 函数 Amazon 资源标签标准 LOW 变更已触发
Macie.1 应该启用 Amazon Macie Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
Macie.2 应启用 Macie 自动发现敏感数据 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 定期
MSK.1 MSK集群应在代理节点之间传输时进行加密 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
MSK.2 MSK群集应配置增强监控 NISTSP 800-53 Rev. 5 LOW 没有 变更已触发
MSK.3 MSKConnect 连接器在传输过程中应进行加密 Amazon 基础安全最佳实践 v1.0.0 MEDIUM N 变更已触发
MQ.2 ActiveMQ 代理应将审核日志流式传输到 CloudWatch Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
MQ.3 亚马逊 MQ 代理应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
MQ.4 应给亚马逊 MQ 经纪人贴上标签 Amazon 资源标签标准 LOW 变更已触发
MQ.5 ActiveMQ 代理应使用主动/备用部署模式 NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower LOW 没有 变更已触发
MQ.6 RabbitMQ 代理应该使用集群部署模式 NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower LOW 没有 变更已触发
Neptune.1 应对 Neptune 数据库集群进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 没有 变更已触发
Neptune.2 Neptune 数据库集群应将审核日志发布到日志 CloudWatch Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 没有 变更已触发
Neptune.3 Neptune 数据库集群快照不应公开 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower CRITICAL 没有 变更已触发
Neptune.4 Neptune 数据库集群应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower LOW 没有 变更已触发
Neptune.5 Neptune 数据库集群应启用自动备份 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 变更已触发
Neptune.6 应对 Neptune 数据库集群快照进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 没有 变更已触发
Neptune.7 Neptune 数据库集群应启用IAM数据库身份验证 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 没有 变更已触发
Neptune.8 应将 Neptune 数据库集群配置为将标签复制到快照 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower LOW 没有 变更已触发
Neptune.9 Neptune 数据库集群应部署在多个可用区中 NISTSP 800-53 Rev. 5 MEDIUM 没有 变更已触发
NetworkFirewall.1 Network Firewall 防火墙应跨多个可用区部署 NISTSP 800-53 Rev. 5 MEDIUM 没有 变更已触发
NetworkFirewall.2 应启用 Network Firewall 日志记录 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
NetworkFirewall.3 Network Firewall 策略应至少关联一个规则组 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
NetworkFirewall.4 Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
NetworkFirewall.5 Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
NetworkFirewall.6 无状态网络防火墙规则组不应为空 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
NetworkFirewall.7 应标记 Network Firewall 防火墙 Amazon 资源标签标准 LOW 变更已触发
NetworkFirewall.8 应标记 Network Firewall 防火墙策略 Amazon 资源标签标准 LOW 变更已触发
NetworkFirewall.9 Network Firewall 防火墙应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
Opensearch.1 OpenSearch 域应启用静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST MEDIUM 没有 变更已触发
Opensearch.2 OpenSearch 域名不应可供公众访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发
Opensearch.3 OpenSearch 域应加密节点之间发送的数据 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Opensearch.4 OpenSearch 应该启用记录到 CloudWatch 日志的域错误 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Opensearch.5 OpenSearch 域应启用审核日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Opensearch.6 OpenSearch 域应至少有三个数据节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Opensearch.7 OpenSearch 域名应启用细粒度访问控制 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
Opensearch.8 应使用最新的TLS安全策略对与 OpenSearch 域的连接进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
OpenSearch.9 OpenSearch 域名应该被标记 Amazon 资源标签标准 LOW 变更已触发
Opensearch.10 OpenSearch 域名应安装最新的软件更新 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
打开搜索。11 OpenSearch 域应至少有三个专用的主节点 NISTSP 800-53 Rev. 5 MEDIUM 没有 定期
PCA.1 Amazon Private CA 应禁用根证书颁发机构 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 定期
RDS.1 RDS快照应该是私有的 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发
RDS.2 RDS数据库实例应禁止公共访问,具体取决于 PubliclyAccessible 配置 CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST CRITICAL 没有 变更已触发
RDS.3 RDS数据库实例应启用静态加密 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST MEDIUM 没有 变更已触发
RDS.4 RDS集群快照和数据库快照应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
RDS.5 RDS数据库实例应配置多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
RDS.6 应为RDS数据库实例配置增强监控 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 变更已触发
RDS.7 RDS群集应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
RDS.8 RDS数据库实例应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.9 RDS数据库实例应将日志发布到 CloudWatch 日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
RDS.10 IAM应该为RDS实例配置身份验证 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
RDS.11 RDS实例应启用自动备份 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
RDS.12 IAM应为RDS集群配置身份验证 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
RDS.13 RDS应启用自动次要版本升级 CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST HIGH 没有 变更已触发
RDS.14 Amazon Aurora 集群应启用回溯功能 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 变更已触发
RDS.15 RDS应为多个可用区配置数据库集群 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
RDS.16 RDS应将数据库集群配置为将标签复制到快照 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST LOW 没有 变更已触发
RDS.17 RDS应将数据库实例配置为将标签复制到快照 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.18 RDS实例应部署在 VPC Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
RDS.19 应为关键群集RDS事件配置现有的事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.20 应为关键数据库实例RDS事件配置现有的事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.21 应为RDS关键数据库参数组事件配置事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.22 应为RDS关键的数据库安全组事件配置事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.23 RDS实例不应使用数据库引擎的默认端口 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 没有 变更已触发
RDS.24 RDS数据库集群应使用自定义的管理员用户名 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
RDS.25 RDS数据库实例应使用自定义的管理员用户名 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
RDS.26 RDS数据库实例应受备份计划的保护 NISTSP 800-53 Rev. 5 MEDIUM 定期
RDS.27 RDS数据库集群应在静态时加密 Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower MEDIUM 没有 变更已触发
RDS.28 RDS应为数据库集群加标签 Amazon 资源标签标准 LOW 变更已触发
RDS.29 RDS应标记数据库集群快照 Amazon 资源标签标准 LOW 变更已触发
RDS.30 RDS应为数据库实例加标签 Amazon 资源标签标准 LOW 变更已触发
RDS.31 RDS应标记数据库安全组 Amazon 资源标签标准 LOW 变更已触发
RDS.32 RDS应标记数据库快照 Amazon 资源标签标准 LOW 变更已触发
RDS.33 RDS应标记数据库子网组 Amazon 资源标签标准 LOW 变更已触发
RDS.34 Aurora 我的SQL数据库集群应该将审核日志发布到 CloudWatch 日志 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
RDS.35 RDS数据库集群应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
RDS.36 RDS对于 Postgre SQL 数据库实例,应将日志发布到 CloudWatch 日志 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 变更已触发
RDS.37 Aurora Postgre SQL 数据库集群应将日志发布到 CloudWatch 日志 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
Redshift.1 Amazon Redshift 集群应禁止公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发
Redshift.2 与 Amazon Redshift 集群的连接应在传输过程中加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.3 Amazon Redshift 集群应启用自动快照 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 变更已触发
Redshift.4 Amazon Redshift 集群应启用审核日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.6 Amazon Redshift 应该启用自动升级到主要版本的功能 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.7 Redshift 集群应使用增强型路由 VPC Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.8 Amazon Redshift 集群不应使用默认管理员用户名 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.9 Redshift 集群不应使用默认数据库名称 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.10 Redshift 集群应静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
Redshift.11 应该标记 Redshift 集群 Amazon 资源标签标准 LOW 变更已触发
Redshift.12 应标记 Redshift 事件订阅通知 Amazon 资源标签标准 LOW 变更已触发
Redshift.13 应标记 Redshift 集群快照 Amazon 资源标签标准 LOW 变更已触发
Redshift.14 应标记 Redshift 集群子网组 Amazon 资源标签标准 LOW 变更已触发
redshift.15 Redshift 安全组应仅允许从受限来源进入集群端口 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 定期
53.1 号公路 应标记 Route 53 运行状况检查 Amazon 资源标签标准 LOW 变更已触发
Route53.2 Route 53 公共托管区域应记录DNS查询 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
S3.1 S3 通用存储桶应启用阻止公共访问设置 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST MEDIUM 没有 定期
S3.2 S3 通用存储桶应阻止公共读取权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发且定期进行
S3.3 S3 通用存储桶应阻止公共写入权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST CRITICAL 没有 变更已触发且定期进行
S3.5 S3 通用存储桶应要求请求才能使用 SSL CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST MEDIUM 没有 变更已触发
S3.6 S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
S3.7 S3 通用存储桶应使用跨区域复制 PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 LOW 没有 变更已触发
S3.8 S3 通用存储桶应阻止公共访问 CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST HIGH 没有 变更已触发
S3.9 S3 通用存储桶应启用服务器访问日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
S3.10 启用版本控制的 S3 通用存储桶应具有生命周期配置 NISTSP 800-53 Rev. 5 MEDIUM 没有 变更已触发
S3.11 S3 通用存储桶应启用事件通知 NISTSP 800-53 Rev. 5 MEDIUM 变更已触发
S3.12 ACLs不应用于管理用户对 S3 通用存储桶的访问权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
S3.13 S3 通用存储桶应具有生命周期配置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST LOW 变更已触发
S3.14 S3 通用存储桶应启用版本控制 NISTSP 800-53 Rev. 5 LOW 没有 变更已触发
S3.15 S3 通用存储桶应启用对象锁定 NISTSP 800-53 Rev. 5 MEDIUM 变更已触发
S3.17 S3 通用存储桶应使用静态加密 Amazon KMS keys 服务管理标准: Amazon Control Tower,NISTSP 800-53 修订版 5 MEDIUM 没有 变更已触发
S3.19 S3 接入点应启用屏蔽公共访问权限设置 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST CRITICAL 没有 变更已触发
S3.20 S3 通用存储桶应启用MFA删除功能 CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、SP 800-53 修订版 5 NIST LOW 没有 变更已触发
S3.22 S3 通用存储桶应记录对象级写入事件 CIS Amazon 基金会基准测试 v3.0.0 MEDIUM 没有 定期
S3.23 S3 通用存储桶应记录对象级读取事件 CIS Amazon 基金会基准测试 v3.0.0 MEDIUM 没有 定期
S3.24 S3 多区域接入点应启用屏蔽公共访问设置 Amazon 基础安全最佳实践 v1.0.0 HIGH 没有 变更已触发
SageMaker.1 Amazon SageMaker 笔记本实例不应直接访问互联网 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST HIGH 没有 定期
SageMaker.2 SageMaker 笔记本实例应以自定义方式启动 VPC Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
SageMaker.3 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST HIGH 没有 变更已触发
SageMaker.4 SageMaker 端点生产变体的初始实例数应大于 1 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
SecretsManager.1 Secrets Manager 密钥应启用自动轮换 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 变更已触发
SecretsManager.2 配置自动轮换的 Secrets Manager 密钥应成功轮换 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
SecretsManager.3 移除未使用 Secrets Manager 密钥 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 定期
SecretsManager.4 Secrets Manager 密钥应在指定的天数内轮换 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 定期
SecretsManager.5 应标记 Secrets Manager 的机密 Amazon 资源标签标准 LOW 变更已触发
ServiceCatalog.1 Service Catalog 产品组合只能在 Amazon 组织内部共享 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST HIGH 没有 定期
SES.1 SES应给联系人列表加标签 Amazon 资源标签标准 LOW 变更已触发
SES.2 SES应标记配置集 Amazon 资源标签标准 LOW 变更已触发
SNS.1 SNS应使用以下方法对主题进行静态加密 Amazon KMS NISTSP 800-53 Rev. 5 MEDIUM 没有 变更已触发
SNS.3 SNS话题应该加标签 Amazon 资源标签标准 LOW 变更已触发
SQS.1 Amazon SQS 队列应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
SQS.2 SQS队列应该被标记 Amazon 资源标签标准 LOW 变更已触发
SSM.1 EC2实例应由以下人员管理 Amazon Systems Manager Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST MEDIUM 没有 变更已触发
SSM.2 EC2安装补丁COMPLIANT后,由 Systems Manager 管理的实例的补丁合规性状态应为 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST HIGH 没有 变更已触发
SSM.3 EC2由 Systems Manager 管理的实例的关联合规状态应为 COMPLIANT Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST LOW 没有 变更已触发
SSM.4 SSM文件不应公开 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST CRITICAL 没有 定期
StepFunctions.1 Step Functions 状态机应该开启日志功能 Amazon 基础安全最佳实践 MEDIUM 变更已触发
StepFunctions.2 应标记 Step Functions 活动 Amazon 资源标签标准 LOW 变更已触发
转账。1 应标记 Transfer Family 工作流程 Amazon 资源标签标准 LOW 变更已触发
转账。2 Transfer Family 服务器不应使用FTP协议进行端点连接 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
WAF.1 Amazon WAF 应启用经典全局 Web ACL 日志记录 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 定期
WAF.2 Amazon WAF 经典区域规则应至少有一个条件 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
WAF.3 Amazon WAF 经典区域规则组应至少有一条规则 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
WAF.4 Amazon WAF 经典区域网站ACLs应至少有一个规则或规则组 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
WAF.6 Amazon WAF 经典全局规则应至少有一个条件 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
WAF.7 Amazon WAF 经典全局规则组应至少有一条规则 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
WAF.8 Amazon WAF 经典全球网站ACLs应至少有一个规则或规则组 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
WAF.10 Amazon WAF Web ACLs 应该至少有一个规则或规则组 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST MEDIUM 没有 变更已触发
WAF.11 Amazon WAF 应启用 Web ACL 日志记录 NISTSP 800-53 Rev. 5 LOW 没有 定期
WAF.12 Amazon WAF 规则应启用 CloudWatch 指标 Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST MEDIUM 没有 变更已触发
WorkSpaces.1 WorkSpaces 用户卷应在静态时加密 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
WorkSpaces.2 WorkSpaces 根卷应在静态时加密 Amazon 基础安全最佳实践 v1.0.0 MEDIUM 没有 变更已触发
主题