本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Security Hub CSPM 控件参考 此控件参考提供了可用的 Sec Amazon urity Hub CSPM 控件表,其中包含指向有关每个控件的更多信息的链接。在该表中,控件按控件 ID 的字母顺序排列。此处仅包含 Security Hub CSPM 正在使用的控件。已停用的控件不包含在表中。 该表提供了每个控件的以下信息: + **安全控制 ID** — 此 ID 适用于所有标准,并表示该控件所涉及的 Amazon Web Services 服务 和资源。无论您的账户中开启还是关闭了[整合控制结果 IDs,Security Hub CSPM 控制](controls-findings-create-update.md#consolidated-control-findings)台都会显示安全控制。但是,只有在您的账户中启用了合并控制结果时,Security Hub CSPM 调查结果 IDs 才会引用安全控制。如果在您的账户中关闭了合并控制结果,则控制结果中的某些控制措施 IDs 会因标准而异。有关特定标准的控制与安全控制 IDs 的映射 IDs,请参阅。[整合如何影响控制权 IDs 和所有权](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles) 如果您想为安全控件设置[自动化](automations.md),我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub CSPM 偶尔会更新控件标题或描述,但控制 IDs 保持不变。 控件 IDs 可能会跳过数字。这些是未来控件的占位符。 + **安全控件标题**——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub CSPM 控制台都会显示安全控件标题。但是,只有在账户中开启了整合的控件调查发现时,Security Hub CSPM 调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定标准的控制与安全控制 IDs 的映射 IDs,请参阅。[整合如何影响控制权 IDs 和所有权](asff-changes-consolidation.md#securityhub-findings-format-changes-ids-titles) + **适用标准**——指明控件适用于哪些标准。请选择一个控件以查看第三方合规性框架的具体要求。 + **严重性**——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub CSPM 如何确定控件严重性的信息,请参阅[控件调查发现的严重性级别](controls-findings-create-update.md#control-findings-severity)。 + **支持自定义参数**-指示控件是否支持一个或多个参数的自定义值。请选择一个控件以查看参数详细信息。有关更多信息,请参阅 [了解 Security Hub CSPM 中的控件参数](custom-control-parameters.md)。 + **计划类型**——指明何时评估控件。有关更多信息,请参阅 [有关运行安全检查的计划](securityhub-standards-schedule.md)。 请选择一个控件以查看更多详细信息。控件按安全控件 ID 的字母顺序排列。 | 安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 | | --- | --- | --- | --- | --- | --- | | [Account.1](account-controls.md#account-1) | 应为以下人员提供安全联系信息 Amazon Web Services 账户 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Account.2](account-controls.md#account-2) | Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分 | NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ACM.1](acm-controls.md#acm-1) | 导入的证书和 ACM 颁发的证书应在指定时间段后更新 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发且定期进行 | | [ACM.2](acm-controls.md#acm-2) | 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ACM.3](acm-controls.md#acm-3) | 应标记 ACM 证书 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Amplify.1](amplify-controls.md#amplify-1) | 应标记 Amplify 应用 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Amplify.2](amplify-controls.md#amplify-2) | 应标记 Amplify 分支 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [APIGateway1](apigateway-controls.md#apigateway-1)。 | 应启用 API Gateway REST 和 WebSocket API 执行日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [APIGateway.2](apigateway-controls.md#apigateway-2) | API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [APIGateway.3](apigateway-controls.md#apigateway-3) | API Gateway REST API 阶段应启用 Amazon X-Ray 跟踪 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [APIGateway.4](apigateway-controls.md#apigateway-4) | API Gateway 应与 WAF Web ACL 关联 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [APIGateway.5](apigateway-controls.md#apigateway-5) | API Gateway REST API 缓存数据应静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [APIGateway.8](apigateway-controls.md#apigateway-8) | API Gateway 路由应指定授权类型 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [APIGateway.9](apigateway-controls.md#apigateway-9) | 应为 API Gateway V2 阶段配置访问日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [APIGateway.10](apigateway-controls.md#apigateway-10) | API Gateway V2 集成应使用 HTTPS 进行私有连接 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [AppConfig1](appconfig-controls.md#appconfig-1)。 | Amazon AppConfig 应用程序应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppConfig.2](appconfig-controls.md#appconfig-2) | Amazon AppConfig 应标记配置文件 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppConfig.3](appconfig-controls.md#appconfig-3) | Amazon AppConfig 应该给环境加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppConfig.4](appconfig-controls.md#appconfig-4) | Amazon AppConfig 应标记扩展关联 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppFlow1](appflow-controls.md#appflow-1)。 | 应标记 Amazon AppFlow 流程 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppRunner1](apprunner-controls.md#apprunner-1)。 | 应标记 App Runer 服务 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppRunner.2](apprunner-controls.md#apprunner-2) | 应标记 App Runner VPC 连接器 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppSync.2](appsync-controls.md#appsync-2) | Amazon AppSync 应该启用字段级日志记录 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppSync.4](appsync-controls.md#appsync-4) | Amazon AppSync APIs 应标记 GraphQL | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AppSync.5](appsync-controls.md#appsync-5) | Amazon AppSync APIs 不应使用 API 密钥对 GraphQL 进行身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Athena.2](athena-controls.md#athena-2) | 应标记 Athena 数据目录 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Athena.3](athena-controls.md#athena-3) | 应标记 Athena 工作组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Athena.4](athena-controls.md#athena-4) | Athena 工作组应启用日志记录 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [AutoScaling1](autoscaling-controls.md#autoscaling-1)。 | 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | Amazon 基础安全最佳实践,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [AutoScaling.2](autoscaling-controls.md#autoscaling-2) | Amazon EC2 Auto Scaling 组应覆盖多个可用区 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [AutoScaling.3](autoscaling-controls.md#autoscaling-3) | Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Autoscaling.5](autoscaling-controls.md#autoscaling-5) | 使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [AutoScaling.6](autoscaling-controls.md#autoscaling-6) | 自动扩缩组组应在多个可用区中使用多种实例类型 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [AutoScaling.9](autoscaling-controls.md#autoscaling-9) | EC2 自动扩缩组应使用 EC2 启动模板 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [AutoScaling.10](autoscaling-controls.md#autoscaling-10) | 应标记 EC2 自动扩缩组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Backup.1](backup-controls.md#backup-1) | Amazon Backup 恢复点应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Backup.2](backup-controls.md#backup-2) | Amazon Backup 应标记恢复点 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Backup.3](backup-controls.md#backup-3) | Amazon Backup 应给保管库加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Backup.4](backup-controls.md#backup-4) | Amazon Backup 报告计划应加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Backup.5](backup-controls.md#backup-5) | Amazon Backup 应标记备份计划 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Batch.1](batch-controls.md#batch-1) | 应标记批处理作业队列 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Batch.2](batch-controls.md#batch-2) | 应标记批处理计划策略 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Batch.3](batch-controls.md#batch-3) | 应标记批处理计算环境 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Batch.4](batch-controls.md#batch-4) | 应标记托管批处理计算环境中的计算资源属性 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CloudFormation.2](cloudformation-controls.md#cloudformation-2) | CloudFormation 堆栈应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CloudFormation.3](cloudformation-controls.md#cloudformation-3) | CloudFormation 堆栈应启用终止保护 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFormation.4](cloudformation-controls.md#cloudformation-4) | CloudFormation 堆栈应该有相关的服务角色 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront1](cloudfront-controls.md#cloudfront-1)。 | CloudFront 发行版应配置默认根对象 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.3](cloudfront-controls.md#cloudfront-3) | CloudFront 发行版在传输过程中应要求加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.4](cloudfront-controls.md#cloudfront-4) | CloudFront 发行版应配置源站故障转移 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.5](cloudfront-controls.md#cloudfront-5) | CloudFront 发行版应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.6](cloudfront-controls.md#cloudfront-6) | CloudFront 发行版应启用 WAF | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.7](cloudfront-controls.md#cloudfront-7) | CloudFront 发行版应使用自定义 SSL/TLS 证书 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.8](cloudfront-controls.md#cloudfront-8) | CloudFront 发行版应使用 SNI 来处理 HTTPS 请求 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.9](cloudfront-controls.md#cloudfront-9) | CloudFront 发行版应加密发往自定义来源的流量 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.10](cloudfront-controls.md#cloudfront-10) | CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.12](cloudfront-controls.md#cloudfront-12) | CloudFront 发行版不应指向不存在的 S3 来源 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudFront.13](cloudfront-controls.md#cloudfront-13) | CloudFront 发行版应使用源站访问控制 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.14](cloudfront-controls.md#cloudfront-14) | CloudFront 应该给发行版加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CloudFront.15](cloudfront-controls.md#cloudfront-15) | CloudFront 发行版应使用推荐的 TLS 安全策略 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.16](cloudfront-controls.md#cloudfront-16) | CloudFront 分发应该对 Lambda 函数 URL 来源使用源访问控制 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudFront.17](cloudfront-controls.md#cloudfront-17) | CloudFront 发行版应使用可信密钥组进行签名 URLs 和 Cookie | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CloudTrail1](cloudtrail-controls.md#cloudtrail-1)。 | CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、基础安全最佳实践、NIS Amazon T SP 800-53 修订版 5 Amazon | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) | CloudTrail 应该启用静态加密 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、CIS Amazon 基金会基准 v1.4.0 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudTrail.3](cloudtrail-controls.md#cloudtrail-3) | 至少应启用一条 CloudTrail 跟踪 | NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudTrail.4](cloudtrail-controls.md#cloudtrail-4) | CloudTrail 应启用日志文件验证 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudTrail.5](cloudtrail-controls.md#cloudtrail-5) | CloudTrail 应将跟踪与 Amazon CloudWatch 日志集成 | CIS Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudTrail.6](cloudtrail-controls.md#cloudtrail-6) | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 独联体 Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准测试 v1.4.0、PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | | [CloudTrail.7](cloudtrail-controls.md#cloudtrail-7) | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | 独联体 Amazon 基金会基准 v5.0.0、独联体 Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.2.0、独联体 Amazon 基金会基准 v1.4.0、独联体基金会基准 v3.0.0、PCI Amazon DSS v4.0.1 Amazon | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudTrail.9](cloudtrail-controls.md#cloudtrail-9) | CloudTrail 路径应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CloudTrail.10](cloudtrail-controls.md#cloudtrail-10) | CloudTrail 湖泊事件数据存储应使用客户托管进行加密 Amazon KMS keys | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [CloudWatch1](cloudwatch-controls.md#cloudwatch-1)。 | 应具有有关“根”用户使用的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 修订版 2、PCI DSS v3.2.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.2](cloudwatch-controls.md#cloudwatch-2) | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.3](cloudwatch-controls.md#cloudwatch-3) | 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准测试 v1.2.0 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.4](cloudwatch-controls.md#cloudwatch-4) | 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.5](cloudwatch-controls.md#cloudwatch-5) | 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.6](cloudwatch-controls.md#cloudwatch-6) | 确保存在针对 Amazon Web Services 管理控制台 身份验证失败的日志指标筛选器和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.7](cloudwatch-controls.md#cloudwatch-7) | 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.8](cloudwatch-controls.md#cloudwatch-8) | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.9](cloudwatch-controls.md#cloudwatch-9) | 确保存在 Amazon Config 配置更改的日志指标筛选器和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.10](cloudwatch-controls.md#cloudwatch-10) | 确保存在关于安全组更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.11](cloudwatch-controls.md#cloudwatch-11) | 确保存在关于网络访问控制列表(NACL)更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.12](cloudwatch-controls.md#cloudwatch-12) | 确保存在关于网络网关更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.13](cloudwatch-controls.md#cloudwatch-13) | 确保存在关于路由表更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.14](cloudwatch-controls.md#cloudwatch-14) | 确保存在关于 VPC 更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [CloudWatch.15](cloudwatch-controls.md#cloudwatch-15) | CloudWatch 警报应配置指定的操作 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CloudWatch.16](cloudwatch-controls.md#cloudwatch-16) | CloudWatch 日志组应在指定的时间段内保留 | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [CloudWatch.17](cloudwatch-controls.md#cloudwatch-17) | CloudWatch 应启用警报操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CodeArtifact1](codeartifact-controls.md#codeartifact-1)。 | CodeArtifact 存储库应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CodeBuild1](codebuild-controls.md#codebuild-1)。 | CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CodeBuild.2](codebuild-controls.md#codebuild-2) | CodeBuild 项目环境变量不应包含明文凭证 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CodeBuild.3](codebuild-controls.md#codebuild-3) | CodeBuild 应对 S3 日志进行加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CodeBuild.4](codebuild-controls.md#codebuild-4) | CodeBuild 项目环境应该有日志配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CodeBuild.7](codebuild-controls.md#codebuild-7) | CodeBuild 报告组导出应进行静态加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [CodeGuruProfiler1](codeguruprofiler-controls.md#codeguruprofiler-1)。 | CodeGuru 应标记 Profiler 分析组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [CodeGuruReviewer1](codegurureviewer-controls.md#codegurureviewer-1)。 | CodeGuru 应标记 Reviewer 存储库关联 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Cognito.1](cognito-controls.md#cognito-1) | Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证 | Amazon 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Cognito.2](cognito-controls.md#cognito-2) | Cognito 身份池不应允许未经身份验证的身份 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Cognito.3](cognito-controls.md#cognito-3) | Cognito 用户池的密码策略应具有可靠的配置 | Amazon 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Cognito.4](cognito-controls.md#cognito-4) | Cognito 用户池应激活威胁防护,并使用全功能强制模式进行自定义身份验证 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Cognito.5](cognito-controls.md#cognito-5) | 应为 Cognito 用户池启用 MFA | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Cognito.6](cognito-controls.md#cognito-6) | Cognito 用户池应启用删除保护 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Config.1](config-controls.md#config-1) | Amazon Config 应该启用并使用服务相关角色进行资源记录 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳 Amazon 实践、NIST SP 800-53 修订版 5、PCI DSS v3.2.1 | 关键 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [Connect.1](connect-controls.md#connect-1) | 应标记 Amazon Connect Customer Profiles 对象类型 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Connect.2](connect-controls.md#connect-2) | Amazon Connect 实例应启用 CloudWatch 日志记录 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DataFirehose1](datafirehose-controls.md#datafirehose-1)。 | 应静态加密 Firehose 传输流 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [DataSync1](datasync-controls.md#datasync-1)。 | DataSync 任务应该启用日志记录 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DataSync.2](datasync-controls.md#datasync-2) | DataSync 任务应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Detective.1](detective-controls.md#detective-1) | 应标记 Detective 行为图 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DMS.1](dms-controls.md#dms-1) | Database Migration Service 复制实例不应公开 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [DMS.2](dms-controls.md#dms-2) | 应标记 DMS 证书 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DMS.3](dms-controls.md#dms-3) | 应标记 DMS 事件订阅 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DMS.4](dms-controls.md#dms-4) | 应标记 DMS 复制实例 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DMS.5](dms-controls.md#dms-5) | 应标记 DMS 复制子网组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DMS.6](dms-controls.md#dms-6) | DMS 复制实例应启用自动次要版本升级 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.7](dms-controls.md#dms-7) | 目标数据库的 DMS 复制任务应启用日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.8](dms-controls.md#dms-8) | 源数据库的 DMS 复制任务应启用日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.9](dms-controls.md#dms-9) | DMS 端点应使用 SSL | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.10](dms-controls.md#dms-10) | Neptune 数据库的 DMS 端点应启用 IAM 授权 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.11](dms-controls.md#dms-11) | MongoDB 的 DMS 端点应启用身份验证机制 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.12](dms-controls.md#dms-12) | Redis OSS 的 DMS 端点应启用 TLS | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DMS.13](dms-controls.md#dms-13) | DMS 复制实例应配置为使用多个可用区 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DocumentDB.1](documentdb-controls.md#documentdb-1) | Amazon DocumentDB 集群应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DocumentDB.2](documentdb-controls.md#documentdb-2) | Amazon DocumentDB 集群应有足够的备份保留期 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DocumentDB.3](documentdb-controls.md#documentdb-3) | Amazon DocumentDB 手动集群快照不应公开 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DocumentDB.4](documentdb-controls.md#documentdb-4) | Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DocumentDB.5](documentdb-controls.md#documentdb-5) | Amazon DocumentDB 集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [documentDB.](documentdb-controls.md#documentdb-6) | Amazon DocumentDB 集群应在传输过程中加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [DynamoDB.1](dynamodb-controls.md#dynamodb-1) | DynamoDB 表应根据需求自动扩展容量 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [DynamoDB.2](dynamodb-controls.md#dynamodb-2) | DynamoDB 表应该启用恢复功能 point-in-time | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DynamoDB.3](dynamodb-controls.md#dynamodb-3) | DynamoDB Accelerator(DAX)集群应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [DynamoDB.4](dynamodb-controls.md#dynamodb-4) | 备份计划中应有 DynamoDB 表 | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [DynamoDB.5](dynamodb-controls.md#dynamodb-5) | 应标记 DynamoDB 表 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [DynamodB.6](dynamodb-controls.md#dynamodb-6) | DynamoDB 表应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [DynamoDB.7](dynamodb-controls.md#dynamodb-7) | 应在传输过程中加密 DynamoDB Accelerator 集群 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.1](ec2-controls.md#ec2-1) | 不应公开还原 EBS 快照 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.2](ec2-controls.md#ec2-2) | VPC 默认安全组不应允许入站或出站流量 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 Amazon | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.3](ec2-controls.md#ec2-3) | 挂载的 EBS 卷应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.4](ec2-controls.md#ec2-4) | 停止的 EC2 实例应在指定时间段后删除 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.6](ec2-controls.md#ec2-6) | 应全部启用 VPC 流量记录 VPCs | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5、NIST SP 800-171 修订版 2 Amazon | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.7](ec2-controls.md#ec2-7) | EBS 默认加密应该为已启用。 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、 Amazon 基础安全最佳实践 v1.0.0、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 Amazon | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.8](ec2-controls.md#ec2-8) | EC2 实例应使用实例元数据服务版本 2 (IMDSv2) | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、 Amazon 基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.9](ec2-controls.md#ec2-9) | EC2 实例不应有公有 IPv4 地址 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.10](ec2-controls.md#ec2-10) | 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.12](ec2-controls.md#ec2-12) | EIPs 应移除未使用的 EC2 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.13](ec2-controls.md#ec2-13) | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | CIS F Amazon oundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | | [EC2.14](ec2-controls.md#ec2-14) | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | | [EC2.15](ec2-controls.md#ec2-15) | EC2 子网不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.16](ec2-controls.md#ec2-16) | 应删除未使用的网络访问控制列表 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1, | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.17](ec2-controls.md#ec2-17) | EC2 实例不应使用多个 ENIs | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.18](ec2-controls.md#ec2-18) | 安全组应仅允许授权端口不受限制的传入流量 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | HIGH(高) | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.19](ec2-controls.md#ec2-19) | 安全组不应允许无限制地访问高风险端口 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 Rev. 2 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | | [EC2.20](ec2-controls.md#ec2-20) | VPN 连接的两个 Amazon Site-to-Site VPN 隧道都应处于开启状态 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.21](ec2-controls.md#ec2-21) | 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 Amazon 基础安全最佳实践、NIS Amazon T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.22](ec2-controls.md#ec2-22) | 应删除未使用的 EC2 安全组 | | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.23](ec2-controls.md#ec2-23) | EC2 中转网关不应自动接受 VPC 附件请求 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.24](ec2-controls.md#ec2-24) | 不应使用 EC2 半虚拟化实例类型 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.25](ec2-controls.md#ec2-25) | EC2 启动模板不应将公共分配 IPs 给网络接口 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.28](ec2-controls.md#ec2-28) | EBS 卷应包含在备份计划中 | NIST SP 800-53 Rev. 5 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.33](ec2-controls.md#ec2-33) | 应标记 EC2 中转网关连接 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.34](ec2-controls.md#ec2-34) | 应标记 EC2 中转网关路由表 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.35](ec2-controls.md#ec2-35) | 应标记 EC2 网络接口 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.36](ec2-controls.md#ec2-36) | 应标记 EC2 客户网关 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.37](ec2-controls.md#ec2-37) | 应标记 EC2 弹性 IP 地址 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.38](ec2-controls.md#ec2-38) | 应标记 EC2 实例 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.39](ec2-controls.md#ec2-39) | 应标记 EC2 互联网网关 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.40](ec2-controls.md#ec2-40) | 应标记 EC2 NAT 网关 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.41](ec2-controls.md#ec2-41) | ACLs 应标记 EC2 网络 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.42](ec2-controls.md#ec2-42) | 应标记 EC2 路由表 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.43](ec2-controls.md#ec2-43) | 应标记 EC2 安全组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.44](ec2-controls.md#ec2-44) | 应标记 EC2 子网 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.45](ec2-controls.md#ec2-45) | 应标记 EC2 卷 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.46](ec2-controls.md#ec2-46) | VPCs 应该给亚马逊贴上标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.47](ec2-controls.md#ec2-47) | 应标记 Amazon VPC 端点服务 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.48](ec2-controls.md#ec2-48) | 应标记 Amazon VPC 流日志 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.49](ec2-controls.md#ec2-49) | 应标记 Amazon VPC 对等连接 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.50](ec2-controls.md#ec2-50) | 应标记 EC2 VPN 网关 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.51](ec2-controls.md#ec2-51) | EC2 Client VPN 端点应启用客户端连接日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.52](ec2-controls.md#ec2-52) | 应标记 EC2 中转网关 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.53](ec2-controls.md#ec2-53) | EC2 安全组不应允许从 0.0.0.0/0 到远程服务器管理端口的入口流量 | 独联体 Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.54](ec2-controls.md#ec2-54) | EC2 安全组不应允许从 ::/0 到远程服务器管理端口的入口流量 | 独联体 Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EC2.55](ec2-controls.md#ec2-55) | VPCs 应使用 ECR API 的接口端点进行配置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.56](ec2-controls.md#ec2-56) | VPCs 应该使用 Docker 注册表的接口端点进行配置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.57](ec2-controls.md#ec2-57) | VPCs 应使用 Systems Manager 的接口端点进行配置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.58](ec2-controls.md#ec2-58) | VPCs 应为 Systems Manager 事件管理器联系人配置接口端点 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.60](ec2-controls.md#ec2-60) | VPCs 应使用 Systems Manager 事件管理器的接口端点进行配置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [EC2.170](ec2-controls.md#ec2-170) | EC2 启动模板应使用实例元数据服务版本 2 (IMDSv2) | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.171](ec2-controls.md#ec2-171) | EC2 VPN 连接应启用日志记录 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.172](ec2-controls.md#ec2-172) | EC2 VPC 阻止公开访问设置应阻止互联网网关流量 | Amazon 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.173](ec2-controls.md#ec2-173) | 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.174](ec2-controls.md#ec2-174) | 应标记 EC2 DHCP 选项集 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.175](ec2-controls.md#ec2-175) | 应标记 EC2 启动模板 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.176](ec2-controls.md#ec2-176) | 应标记 EC2 前缀列表 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.177](ec2-controls.md#ec2-177) | 应标记 EC2 流量镜像会话 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.178](ec2-controls.md#ec2-178) | 应标记 EC2 流量镜像筛选条件 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.179](ec2-controls.md#ec2-179) | 应标记 EC2 流量镜像目标 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EC2.180](ec2-controls.md#ec2-180) | EC2 网络接口应启用 source/destination 检查功能 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.181](ec2-controls.md#ec2-181) | EC2 启动模板应为附加的 EBS 卷启用加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EC2.182](ec2-controls.md#ec2-182) | EBS 快照不应公开访问 | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECR.1](ecr-controls.md#ecr-1) | ECR 私有存储库应配置图像扫描 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ECR.2](ecr-controls.md#ecr-2) | ECR 私有存储库应配置标签不可变性 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECR.3](ecr-controls.md#ecr-3) | ECR 存储库应至少配置一项生命周期策略 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECR.4](ecr-controls.md#ecr-4) | 应标记 ECR 公有存储库 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ECR.5](ecr-controls.md#ecr-5) | ECR 存储库应使用客户管理型 Amazon KMS keys进行加密 | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ECS.2](ecs-controls.md#ecs-2) | ECS 服务不应自动分配公共 IP 地址 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.3](ecs-controls.md#ecs-3) | ECS 任务定义不应共享主机的进程命名空间 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.4](ecs-controls.md#ecs-4) | ECS 容器应以非特权身份运行 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.5](ecs-controls.md#ecs-5) | ECS 容器应限制为仅对根文件系统具有只读访问权限。 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.8](ecs-controls.md#ecs-8) | 密钥不应作为容器环境变量传递 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.9](ecs-controls.md#ecs-9) | ECS 任务定义应具有日志配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.10](ecs-controls.md#ecs-10) | ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.12](ecs-controls.md#ecs-12) | ECS 集群应该使用容器详情 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.13](ecs-controls.md#ecs-13) | 应标记 ECS 服务 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ECS.14](ecs-controls.md#ecs-14) | 应标记 ECS 集群 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ECS.15](ecs-controls.md#ecs-15) | 应标记 ECS 任务定义 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ECS.16](ecs-controls.md#ecs-16) | ECS 任务集不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.17](ecs-controls.md#ecs-17) | ECS 任务定义不应使用主机网络模式 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.18](ecs-controls.md#ecs-18) | ECS 任务定义应对 EFS 卷使用传输中加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.19](ecs-controls.md#ecs-19) | ECS 容量提供商应启用托管终止保护 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.20](ecs-controls.md#ecs-20) | ECS 任务定义应在 Linux 容器定义中配置非 root 用户 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ECS.21](ecs-controls.md#ecs-21) | ECS 任务定义应在 Windows 容器定义中配置非管理员用户 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EFS.1](efs-controls.md#efs-1) | 应将 Elastic 文件系统配置为使用以下方法加密静态文件数据 Amazon KMS | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EFS.2](efs-controls.md#efs-2) | Amazon EFS 卷应包含在备份计划中 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EFS.3](efs-controls.md#efs-3) | EFS 接入点应强制使用根目录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EFS.4](efs-controls.md#efs-4) | EFS 接入点应强制使用用户身份 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EFS.5](efs-controls.md#efs-5) | 应标记 EFS 接入点 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EFS.6](efs-controls.md#efs-6) | EFS 挂载目标不应与启动时分配公有 IP 地址的子网关联 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EFS.7](efs-controls.md#efs-7) | EFS 文件系统应启用自动备份 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EFS.8](efs-controls.md#efs-8) | 应静态加密 EFS 文件系统 | CIS Amazon 基金会基准测试 v5.0.0, Amazon 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EKS.1](eks-controls.md#eks-1) | EKS 集群端点不应公开访问 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EKS.2](eks-controls.md#eks-2) | EKS 集群应在受支持的 Kubernetes 版本上运行 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EKS.3](eks-controls.md#eks-3) | EKS 集群应使用加密的 Kubernetes 密钥 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EKS.6](eks-controls.md#eks-6) | 应标记 EKS 集群 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EKS.7](eks-controls.md#eks-7) | 应标记 EKS 身份提供者配置 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EKS.8](eks-controls.md#eks-8) | EKS 集群应启用审核日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ElastiCache1](elasticache-controls.md#elasticache-1)。 | ElastiCache (Redis OSS) 集群应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [ElastiCache.2](elasticache-controls.md#elasticache-2) | ElastiCache 集群应启用自动次要版本升级 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ElastiCache.3](elasticache-controls.md#elasticache-3) | ElastiCache 复制组应启用自动故障切换 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ElastiCache.4](elasticache-controls.md#elasticache-4) | ElastiCache 复制组应为 encrypted-at-rest | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ElastiCache.5](elasticache-controls.md#elasticache-5) | ElastiCache 复制组应为 encrypted-in-transit | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ElastiCache.6](elasticache-controls.md#elasticache-6) | ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ElastiCache.7](elasticache-controls.md#elasticache-7) | ElastiCache 群集不应使用默认子网组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ElasticBeanstalk1](elasticbeanstalk-controls.md#elasticbeanstalk-1)。 | Elastic Beanstalk 环境应启用增强型运行状况报告 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ElasticBeanstalk.2](elasticbeanstalk-controls.md#elasticbeanstalk-2) | 应启用 Elastic Beanstalk 托管平台更新 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ElasticBeanstalk.3](elasticbeanstalk-controls.md#elasticbeanstalk-3) | Elastic Beanstalk 应该将日志流式传输到 CloudWatch | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ELB.1](elb-controls.md#elb-1) | 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ELB.2](elb-controls.md#elb-2) | 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.3](elb-controls.md#elb-3) | 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.4](elb-controls.md#elb-4) | 应将应用程序负载均衡器配置为删除 http 标头 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.5](elb-controls.md#elb-5) | 应启用应用程序和经典负载均衡器日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.6](elb-controls.md#elb-6) | 应用程序、网关和网络负载均衡器应启用删除保护 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.7](elb-controls.md#elb-7) | 经典负载均衡器应启用连接耗尽功能 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.8](elb-controls.md#elb-8) | 具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.9](elb-controls.md#elb-9) | 经典负载均衡器应启用跨区域负载均衡器 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.10](elb-controls.md#elb-10) | 经典负载均衡器应跨越多个可用区 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ELB.12](elb-controls.md#elb-12) | 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.13](elb-controls.md#elb-13) | 应用程序、网络和网关负载均衡器应跨越多个可用区 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ELB.14](elb-controls.md#elb-14) | 经典负载均衡器应配置为防御性或最严格的异步缓解模式 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.16](elb-controls.md#elb-16) | 应用程序负载均衡器应与 Amazon WAF Web ACL 关联 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.17](elb-controls.md#elb-17) | 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.18](elb-controls.md#elb-18) | 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.21](elb-controls.md#elb-21) | 应用程序和 Network Load Balancer 目标组应使用加密的运行状况检查协议 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ELB.22](elb-controls.md#elb-22) | ELB 目标组应使用加密传输协议 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EMR.1](emr-controls.md#emr-1) | Amazon EMR 集群主节点不应有公有 IP 地址 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EMR.2](emr-controls.md#emr-2) | 应启用 Amazon EMR 屏蔽公共访问权限设置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [EMR.3](emr-controls.md#emr-3) | Amazon EMR 安全配置应静态加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EMR.4](emr-controls.md#emr-4) | Amazon EMR 安全配置应在传输过程中加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.1](es-controls.md#es-1) | Elasticsearch 域应启用静态加密 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ES.2](es-controls.md#es-2) | Elasticsearch 域名不可供公共访问 | Amazon 基础安全最佳实践,PCI DSS v3.2.1,PCI DSS v4.0.1,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [ES.3](es-controls.md#es-3) | Elasticsearch 域应加密节点之间发送的数据 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.4](es-controls.md#es-4) | 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.5](es-controls.md#es-5) | Elasticsearch 域名应该启用审核日志 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.6](es-controls.md#es-6) | Elasticsearch 域应拥有至少三个数据节点 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.7](es-controls.md#es-7) | Elasticsearch 域应配置至少三个专用主节点 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.8](es-controls.md#es-8) | 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [ES.9](es-controls.md#es-9) | 应标记 Elasticsearch 域 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EventBridge.2](eventbridge-controls.md#eventbridge-2) | EventBridge 应标记活动总线 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [EventBridge.3](eventbridge-controls.md#eventbridge-3) | EventBridge 自定义事件总线应附加基于资源的策略 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [EventBridge.4](eventbridge-controls.md#eventbridge-4) | EventBridge 全局端点应启用事件复制 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [FraudDetector1](frauddetector-controls.md#frauddetector-1)。 | 应标记 Amazon Fraud Detector 实体类型 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [FraudDetector.2](frauddetector-controls.md#frauddetector-2) | 应标记 Amazon Fraud Detector 标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [FraudDetector.3](frauddetector-controls.md#frauddetector-3) | 应标记 Amazon Fraud Detector 结果 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [FraudDetector.4](frauddetector-controls.md#frauddetector-4) | 应标记 Amazon Fraud Detector 变量 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [FSx1](fsx-controls.md#fsx-1)。 | FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [FSx.2](fsx-controls.md#fsx-2) | FSx 对于 Lustre 文件系统,应配置为将标签复制到备份 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [FSx.3](fsx-controls.md#fsx-3) | FSx 对于 OpenZFS 文件系统,应配置为多可用区部署 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [FSx.4](fsx-controls.md#fsx-4) | FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署 | Amazon 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [FSx.5](fsx-controls.md#fsx-5) | FSx 对于 Windows 文件服务器,应将文件系统配置为多可用区部署 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Glue.1](glue-controls.md#glue-1) | Amazon Glue 应该给工作加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Glue.3](glue-controls.md#glue-3) | Amazon Glue 机器学习转换应在静态状态下进行加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [胶水。4](glue-controls.md#glue-4) | Amazon Glue Spark 作业应在支持的版本上运行 Amazon Glue | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [GlobalAccelerator1](globalaccelerator-controls.md#globalaccelerator-1)。 | 应标记 Global Accelerator 加速器 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [GuardDuty1](guardduty-controls.md#guardduty-1)。 | GuardDuty 应该启用 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v3.2.1,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.2](guardduty-controls.md#guardduty-2) | GuardDuty 应该给过滤器加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [GuardDuty.3](guardduty-controls.md#guardduty-3) | GuardDuty IPSets 应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [GuardDuty.4](guardduty-controls.md#guardduty-4) | GuardDuty 应给探测器加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [GuardDuty.5](guardduty-controls.md#guardduty-5) | GuardDuty 应启用 EKS 审核日志监控 | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.6](guardduty-controls.md#guardduty-6) | GuardDuty 应启用 Lambda 保护 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.7](guardduty-controls.md#guardduty-7) | GuardDuty 应启用 EKS 运行时监控 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.8](guardduty-controls.md#guardduty-8) | GuardDuty 应启用 EC2 的恶意软件防护 | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.9](guardduty-controls.md#guardduty-9) | GuardDuty 应启用 RDS 保护 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.10](guardduty-controls.md#guardduty-10) | GuardDuty 应启用 S3 保护 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.11](guardduty-controls.md#guardduty-11) | GuardDuty 应启用 “运行时监控” | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.12](guardduty-controls.md#guardduty-12) | GuardDuty 应启用 ECS 运行时监控 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [GuardDuty.13](guardduty-controls.md#guardduty-13) | GuardDuty 应启用 EC2 运行时监控 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.1](iam-controls.md#iam-1) | IAM policy 不应允许完全“\$1”管理权限 | CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5、NIST SP 800-171 修订版 2、NIS Amazon T SP 800-171 修订版 2 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [IAM.2](iam-controls.md#iam-2) | IAM 用户不应附加 IAM policy | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、NIS Amazon T SP 800-53 修订版 5、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [IAM.3](iam-controls.md#iam-3) | IAM 用户访问密钥应每 90 天或更短时间轮换一次 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳 Amazon 实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.4](iam-controls.md#iam-4) | 不应存在 IAM 根用户访问密钥 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、NIS Amazon T SP 800-53 修订版 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.5](iam-controls.md#iam-5) | 应为拥有控制台密码的所有 IAM 用户启用 MFA | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳 Amazon 实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.6](iam-controls.md#iam-6) | 应该为根用户启用硬件 MFA | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.7](iam-controls.md#iam-7) | IAM 用户的密码策略应具有可靠的配置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [IAM.8](iam-controls.md#iam-8) | 应移除未使用的 IAM 用户凭证 | CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v3.2.1,PCI DSS v4.0.1,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.9](iam-controls.md#iam-9) | 应为根用户启用 MFA | 独联体 Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 Amazon 基金会基准 v1.2.0、NIST SP 800-53 修订版 5、PCI Amazon DSS v3.2.1、PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.10](iam-controls.md#iam-10) | IAM 用户的密码策略应具有可靠的配置 | NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.11](iam-controls.md#iam-11) | 确保 IAM 密码策略要求包含至少一个大写字母 | CIS Amazon 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.12](iam-controls.md#iam-12) | 确保 IAM 密码策略要求包含至少一个小写字母 | CIS Amazon 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.13](iam-controls.md#iam-13) | 确保 IAM 密码策略要求包含至少一个符号 | CIS Amazon 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.14](iam-controls.md#iam-14) | 确保 IAM 密码策略要求包含至少一个数字 | CIS Amazon 基金会基准 v1.2.0,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.15](iam-controls.md#iam-15) | 确保 IAM 密码策略要求最短密码长度不低于 14 | 独联体 Amazon 基金会基准 v5.0.0、独联体 Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 Amazon 基金会基准 v1.2.0、NIST SP 800-171 修订 Amazon 版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.16](iam-controls.md#iam-16) | 确保 IAM 密码策略阻止重复使用密码 | 独联体 Amazon 基金会基准 v5.0.0、独联体 Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 Amazon 基金会基准 v1.2.0、NIST SP 800-171 修订 Amazon 版 2、PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.17](iam-controls.md#iam-17) | 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.18](iam-controls.md#iam-18) | 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务 | 独联体 Amazon 基金会基准 v5.0.0、独联体 Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 Amazon 基金会基准 v1.2.0、NIST SP 800-171 修订 Amazon 版 2、PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.19](iam-controls.md#iam-19) | 应该为所有 IAM 用户启用 MFA | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.21](iam-controls.md#iam-21) | 您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [IAM.22](iam-controls.md#iam-22) | 应移除在 45 天内未使用的 IAM 用户凭证 | 独联体 Amazon 基金会基准 v5.0.0,独联体 Amazon 基金会基准 v3.0.0,独联体基金会基准 v1.4.0,NIST SP 800- Amazon 171 Rev. 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.23](iam-controls.md#iam-23) | 应标记 IAM Access Analyzer 分析器 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IAM.24](iam-controls.md#iam-24) | 应标记 IAM 角色 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IAM.25](iam-controls.md#iam-25) | 应标记 IAM 用户 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IAM.26](iam-controls.md#iam-26) | 应移除 IAM 中管理的过期 SSL/TLS 证书 | 独联体 Amazon 基金会基准 v5.0.0,独联体 Amazon 基金会基准 v3.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IAM.27](iam-controls.md#iam-27) | IAM 身份不应附加 AWSCloudShellFullAccess 策略 | 独联体 Amazon 基金会基准 v5.0.0,独联体 Amazon 基金会基准 v3.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [IAM.28](iam-controls.md#iam-28) | 应启用 IAM Access Analyzer 外部访问分析器 | 独联体 Amazon 基金会基准 v5.0.0,独联体 Amazon 基金会基准 v3.0.0 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Inspector.1](inspector-controls.md#inspector-1) | 应启用 Amazon Inspector EC2 扫描 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Inspector.2](inspector-controls.md#inspector-2) | 应启用 Amazon Inspector ECR 扫描 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Inspector.3](inspector-controls.md#inspector-3) | 应启用 Amazon Inspector Lambda 代码扫描 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Inspector.4](inspector-controls.md#inspector-4) | 应启用 Amazon Inspector Lambda 标准扫描 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [IoT.1](iot-controls.md#iot-1) | Amazon IoT Device Defender 应标记安全配置文件 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IoT.2](iot-controls.md#iot-2) | Amazon IoT Core 应标记缓解措施 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IoT.3](iot-controls.md#iot-3) | Amazon IoT Core 应给尺寸加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IoT.4](iot-controls.md#iot-4) | Amazon IoT Core 应给授权者加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IoT.5](iot-controls.md#iot-5) | Amazon IoT Core 应标记角色别名 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IoT.6](iot-controls.md#iot-6) | Amazon IoT Core 策略应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TEvents .1](iotevents-controls.md#iotevents-1) | Amazon IoT Events 应标记输入 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TEvents 2](iotevents-controls.md#iotevents-2) | Amazon IoT Events 应标记探测器型号 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TEvents .3](iotevents-controls.md#iotevents-3) | Amazon IoT Events 应标记警报型号 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TSite Wise.1](iotsitewise-controls.md#iotsitewise-1) | Amazon IoT SiteWise 应为资产模型加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TSite Wise.2](iotsitewise-controls.md#iotsitewise-2) | Amazon IoT SiteWise 仪表板应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TSite Wise.3](iotsitewise-controls.md#iotsitewise-3) | Amazon IoT SiteWise 应该给网关加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TSite Wise.4](iotsitewise-controls.md#iotsitewise-4) | Amazon IoT SiteWise 应该给门户加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TSite Wise.5](iotsitewise-controls.md#iotsitewise-5) | Amazon IoT SiteWise 应该给项目加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TTwin Maker.1](iottwinmaker-controls.md#iottwinmaker-1) | Amazon 应标记 IoT TwinMaker 同步作业 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TTwin Maker.2](iottwinmaker-controls.md#iottwinmaker-2) | Amazon 应标 TwinMaker 记 IoT 工作空间 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TTwin Maker.3](iottwinmaker-controls.md#iottwinmaker-3) | Amazon 应标记物联网 TwinMaker 场景 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TTwin Maker.4](iottwinmaker-controls.md#iottwinmaker-4) | Amazon 应标记物联网 TwinMaker 实体 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TWireless .1](iotwireless-controls.md#iotwireless-1) | Amazon 应标记 IoT Wireless 组播组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TWireless 2](iotwireless-controls.md#iotwireless-2) | Amazon 应标记 IoT Wireless 服务配置文件 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Io TWireless .3](iotwireless-controls.md#iotwireless-3) | Amazon 应标记 IoT Wireless FUOTA 任务 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IVS.1](ivs-controls.md#ivs-1) | 应标记 IVS 播放密钥对 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IVS.2](ivs-controls.md#ivs-2) | 应标记 IVS 录制配置 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [IVS.3](ivs-controls.md#ivs-3) | 应标记 IVS 频道 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Keyspaces.1](keyspaces-controls.md#keyspaces-1) | 应标记 Amazon Keyspaces 密钥空间 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Kinesis.1](kinesis-controls.md#kinesis-1) | Kinesis 直播应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Kinesis.2](kinesis-controls.md#kinesis-2) | 应标记 Kinesis 流 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Kinesis.3](kinesis-controls.md#kinesis-3) | Kinesis 流应有足够的数据留存期 | Amazon 基础安全最佳实践 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [KMS.1](kms-controls.md#kms-1) | IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [KMS.2](kms-controls.md#kms-2) | IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [KMS.3](kms-controls.md#kms-3) | Amazon KMS keys 不应无意中删除 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [KMS.4](kms-controls.md#kms-4) | Amazon KMS key 应该启用旋转 | 独联体 Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、独联体 Amazon 基金会基准 v1.2.0、NIST SP 800-53 修订版 5、PCI Amazon DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [KMS.5](kms-controls.md#kms-5) | KMS 密钥不应可公开访问 | Amazon 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Lambda.1](lambda-controls.md#lambda-1) | Lambda 函数策略应禁止公共访问 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Lambda.2](lambda-controls.md#lambda-2) | Lambda 函数应使用受支持的运行时系统 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Lambda.3](lambda-controls.md#lambda-3) | Lambda 函数应位于 VPC 中 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Lambda.5](lambda-controls.md#lambda-5) | VPC Lambda 函数应在多个可用区内运行 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Lambda.6](lambda-controls.md#lambda-6) | 应标记 Lambda 函数 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Lambda.7](lambda-controls.md#lambda-7) | Lambda 函数应启用 Amazon X-Ray 主动跟踪 | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Macie.1](macie-controls.md#macie-1) | 应启用 Amazon Macie | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Macie.2](macie-controls.md#macie-2) | 应启用 Macie 敏感数据自动发现 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [MSK.1](msk-controls.md#msk-1) | MSK 集群应在代理节点之间传输时进行加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MSK.2](msk-controls.md#msk-2) | MSK 集群应配置增强监控 | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MSK.3](msk-controls.md#msk-3) | 应在传输过程中加密 MSK Connect 连接器 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MSK.4](msk-controls.md#msk-4) | MSK 集群应禁用公开访问 | Amazon 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MSK.5](msk-controls.md#msk-5) | MSK 连接器应启用日志记录 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MSK.6](msk-controls.md#msk-6) | MSK 集群应禁用未经身份验证的访问 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MQ.2](mq-controls.md#mq-2) | ActiveMQ 代理应将审核日志流式传输到 CloudWatch | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MQ.4](mq-controls.md#mq-4) | 应标记 Amazon MQ 代理 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [MQ.5](mq-controls.md#mq-5) | ActiveMQ 代理应该使用部署模式 active/standby | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [MQ.6](mq-controls.md#mq-6) | RabbitMQ 代理应该使用集群部署模式 | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.1](neptune-controls.md#neptune-1) | 应对 Neptune 数据库集群进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.2](neptune-controls.md#neptune-2) | Neptune 数据库集群应将审核日志发布到日志 CloudWatch | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.3](neptune-controls.md#neptune-3) | Neptune 数据库集群快照不应公开 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.4](neptune-controls.md#neptune-4) | Neptune 数据库集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.5](neptune-controls.md#neptune-5) | Neptune 数据库集群应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Neptune.6](neptune-controls.md#neptune-6) | 应对 Neptune 数据库集群快照进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.7](neptune-controls.md#neptune-7) | Neptune 数据库集群应启用 IAM 数据库身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.8](neptune-controls.md#neptune-8) | 应将 Neptune 数据库集群配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Neptune.9](neptune-controls.md#neptune-9) | Neptune 数据库集群应部署在多个可用区中 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall1](networkfirewall-controls.md#networkfirewall-1)。 | Network Firewall 防火墙应跨多个可用区部署 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall.2](networkfirewall-controls.md#networkfirewall-2) | 应启用 Network Firewall 日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [NetworkFirewall.3](networkfirewall-controls.md#networkfirewall-3) | Network Firewall 策略应至少关联一个规则组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall.4](networkfirewall-controls.md#networkfirewall-4) | Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall.5](networkfirewall-controls.md#networkfirewall-5) | Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall.6](networkfirewall-controls.md#networkfirewall-6) | 无状态网络防火墙规则组不应为空 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall.7](networkfirewall-controls.md#networkfirewall-7) | 应标记 Network Firewall 防火墙 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [NetworkFirewall.8](networkfirewall-controls.md#networkfirewall-8) | 应标记 Network Firewall 防火墙策略 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [NetworkFirewall.9](networkfirewall-controls.md#networkfirewall-9) | Network Firewall 防火墙应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [NetworkFirewall.10](networkfirewall-controls.md#networkfirewall-10) | Network Firewall 防火墙应启用子网更改保护 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.1](opensearch-controls.md#opensearch-1) | OpenSearch 域应启用静态加密 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.2](opensearch-controls.md#opensearch-2) | OpenSearch 域名不应公开访问 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.3](opensearch-controls.md#opensearch-3) | OpenSearch 域应加密节点之间发送的数据 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.4](opensearch-controls.md#opensearch-4) | OpenSearch 应该启用记录到 CloudWatch 日志的域错误 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.5](opensearch-controls.md#opensearch-5) | OpenSearch 域应启用审核日志 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.6](opensearch-controls.md#opensearch-6) | OpenSearch 域应至少有三个数据节点 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.7](opensearch-controls.md#opensearch-7) | OpenSearch 域名应启用细粒度访问控制 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.8](opensearch-controls.md#opensearch-8) | 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.9](opensearch-controls.md#opensearch-9) | OpenSearch 域名应该被标记 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Opensearch.10](opensearch-controls.md#opensearch-10) | OpenSearch 域名应安装最新的软件更新 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Opensearch.11](opensearch-controls.md#opensearch-11) | OpenSearch 域应至少有三个专用的主节点 | NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [PCA.1](pca-controls.md#pca-1) | Amazon 私有 CA 应禁用根证书颁发机构 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [PCA.2](pca-controls.md#pca-2) | Amazon 应标记私有 CA 证书颁发机构 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.1](rds-controls.md#rds-1) | RDS 快照应为私有快照 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.2](rds-controls.md#rds-2) | 根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、 Amazon 基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.3](rds-controls.md#rds-3) | RDS 数据库实例应启用静态加密 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 Amazon 基础安全最佳 Amazon 实践 v1.0.0、NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.4](rds-controls.md#rds-4) | RDS 集群快照和数据库快照应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.5](rds-controls.md#rds-5) | RDS 数据库实例应配置多个可用区 | CIS Amazon Foundations Benchmark v5.0.0, Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.6](rds-controls.md#rds-6) | 应为 RDS 数据库实例配置增强监控 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.7](rds-controls.md#rds-7) | RDS 集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.8](rds-controls.md#rds-8) | RDS 数据库实例应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.9](rds-controls.md#rds-9) | RDS 数据库实例应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.10](rds-controls.md#rds-10) | 应为 RDS 实例配置 IAM 身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.11](rds-controls.md#rds-11) | RDS 实例应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.12](rds-controls.md#rds-12) | 应为 RDS 集群配置 IAM 身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.13](rds-controls.md#rds-13) | 应启用 RDS 自动次要版本升级 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、 Amazon 基础安全最佳实践、NIST SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.14](rds-controls.md#rds-14) | Amazon Aurora 集群应启用回溯功能 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.15](rds-controls.md#rds-15) | 应为多个可用区配置 RDS 数据库集群 | CIS Amazon Foundations Benchmark v5.0.0, Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.16](rds-controls.md#rds-16) | 应将 Aurora 数据库集群配置为将标签复制到数据库快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.17](rds-controls.md#rds-17) | 应将 RDS 数据库实例配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.18](rds-controls.md#rds-18) | RDS 实例应部署在 VPC 中 | | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.19](rds-controls.md#rds-19) | 应为关键集群事件配置现有 RDS 事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.20](rds-controls.md#rds-20) | 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.21](rds-controls.md#rds-21) | 应为关键数据库参数组事件配置 RDS 事件通知订阅 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.22](rds-controls.md#rds-22) | 应为关键数据库安全组事件配置 RDS 事件通知订阅 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.23](rds-controls.md#rds-23) | RDS 实例不应使用数据库引擎的默认端口 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.24](rds-controls.md#rds-24) | RDS 数据库集群应使用自定义管理员用户名 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.25](rds-controls.md#rds-25) | RDS 数据库实例应使用自定义管理员用户名 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.26](rds-controls.md#rds-26) | RDS 数据库实例应受备份计划保护 | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [RDS.27](rds-controls.md#rds-27) | 应对 RDS 数据库集群进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.28](rds-controls.md#rds-28) | 应标记 RDS 数据库集群 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.29](rds-controls.md#rds-29) | 应标记 RDS 数据库集群快照 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.30](rds-controls.md#rds-30) | 应标记 RDS 数据库实例 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.31](rds-controls.md#rds-31) | 应标记 RDS 数据库安全组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.32](rds-controls.md#rds-32) | 应标记 RDS 数据库快照 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.33](rds-controls.md#rds-33) | 应标记 RDS 数据库子网组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.34](rds-controls.md#rds-34) | Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.35](rds-controls.md#rds-35) | RDS 数据库集群应启用自动次要版本升级 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.36](rds-controls.md#rds-36) | 适用于 PostgreSQL 的 RDS 数据库实例应将日志发布到日志 CloudWatch | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.37](rds-controls.md#rds-37) | Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.38](rds-controls.md#rds-38) | RDS for PostgreSQL 数据库实例应在传输过程中加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.39](rds-controls.md#rds-39) | RDS for MySQL 数据库实例应在传输过程中加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.40](rds-controls.md#rds-40) | 适用于 SQL Server 数据库实例的 RDS 应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [RDS.41](rds-controls.md#rds-41) | RDS for SQL Server 数据库实例应在传输过程中加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.42](rds-controls.md#rds-42) | 适用于 MariaDB 的 RDS 数据库实例应将日志发布到日志 CloudWatch | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [RDS.43](rds-controls.md#rds-43) | RDS 数据库代理应要求对连接进行 TLS 加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.44](rds-controls.md#rds-44) | RDS for MariaDB 数据库实例应在传输过程中加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.45](rds-controls.md#rds-45) | Aurora MySQL 数据库集群应启用审核日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.46](rds-controls.md#rds-46) | RDS 数据库实例不应部署在具有通往互联网网关路由的公共子网中 | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RDS.47](rds-controls.md#rds-47) | 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照 | Amazon 基础安全最佳实践 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.48](rds-controls.md#rds-48) | 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照 | Amazon 基础安全最佳实践 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RDS.50](rds-controls.md#rds-50) | RDS 数据库集群应设置足够的备份保留期 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png) 是 | 变更已触发 | | [Redshift.1](redshift-controls.md#redshift-1) | Amazon Redshift 集群应禁止公共访问 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.2](redshift-controls.md#redshift-2) | 与 Amazon Redshift 集群的连接应在传输过程中加密 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.3](redshift-controls.md#redshift-3) | Amazon Redshift 集群应启用自动快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Redshift.4](redshift-controls.md#redshift-4) | Amazon Redshift 集群应启用审核日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.6](redshift-controls.md#redshift-6) | Amazon Redshift 应该启用自动升级到主要版本的功能 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.7](redshift-controls.md#redshift-7) | Redshift 集群应使用增强型 VPC 路由 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.8](redshift-controls.md#redshift-8) | Amazon Redshift 集群不应使用默认管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.10](redshift-controls.md#redshift-10) | Redshift 集群应静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.11](redshift-controls.md#redshift-11) | 应标记 Redshift 集群 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Redshift.12](redshift-controls.md#redshift-12) | 应标记 Redshift 事件通知订阅 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Redshift.13](redshift-controls.md#redshift-13) | 应标记 Redshift 集群快照 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Redshift.14](redshift-controls.md#redshift-14) | 应标记 Redshift 集群子网组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Redshift.15](redshift-controls.md#redshift-15) | Redshift 安全组应仅允许从受限来源到集群端口的入口流量 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Redshift.16](redshift-controls.md#redshift-16) | Redshift 集群子网组应具有来自多个可用区的子网 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [Redshift.17](redshift-controls.md#redshift-17) | 应标记 Redshift 集群参数组 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Redshift.18](redshift-controls.md#redshift-18) | Redshift 集群应启用多可用区部署 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [RedshiftServerless1](redshiftserverless-controls.md#redshiftserverless-1)。 | Amazon Redshift Serverless 工作组应使用增强型 VPC 路由 | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RedshiftServerless.2](redshiftserverless-controls.md#redshiftserverless-2) | 连接到 Redshift Serverless 工作组时应需要使用 SSL | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RedshiftServerless.3](redshiftserverless-controls.md#redshiftserverless-3) | Redshift Serverless 工作组应禁止公开访问 | Amazon 基础安全最佳实践 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RedshiftServerless.4](redshiftserverless-controls.md#redshiftserverless-4) | Redshift 无服务器命名空间应使用客户托管进行加密 Amazon KMS keys | NIST SP 800-53 Rev. 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [RedshiftServerless.5](redshiftserverless-controls.md#redshiftserverless-5) | Redshift Serverless 命名空间不应使用默认管理员用户名 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [RedshiftServerless.6](redshiftserverless-controls.md#redshiftserverless-6) | Redshift 无服务器命名空间应将日志导出到日志 CloudWatch | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [Route53.1](route53-controls.md#route53-1) | 应标记 Route53 运行状况检查 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Route53.2](route53-controls.md#route53-2) | Route 53 公共托管区域应记录 DNS 查询 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.1](s3-controls.md#s3-1) | S3 通用存储桶应启用屏蔽公共访问权限设置 | CIS Amazon 基金会基准 v5.0.0、CIS 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [S3.2](s3-controls.md#s3-2) | S3 通用存储桶应阻止公共读取访问权限 | Amazon 基础安全最佳实践,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | | [S3.3](s3-controls.md#s3-3) | S3 通用存储桶应阻止公共写入访问权限 | Amazon 基础安全最佳实践,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发且定期进行 | | [S3.5](s3-controls.md#s3-5) | S3 通用存储桶应需要请求才能使用 SSL | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 Amazon 基础安全最佳实践、NIS Amazon T SP 800-53 修订版 5、NIST SP 800-171 修订版 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.6](s3-controls.md#s3-6) | S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 Rev. 2 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.7](s3-controls.md#s3-7) | S3 通用存储桶应使用跨区域复制 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.8](s3-controls.md#s3-8) | S3 通用存储桶应屏蔽公共访问权限 | CIS Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、 Amazon 基础安全最佳实践、NIS Amazon T SP 800-53 修订版 5、PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.9](s3-controls.md#s3-9) | S3 通用存储桶应启用服务器访问日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.10](s3-controls.md#s3-10) | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.11](s3-controls.md#s3-11) | S3 存储桶应启用事件通知 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [S3.12](s3-controls.md#s3-12) | ACLs 不应用于管理用户对 S3 通用存储桶的访问权限 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.13](s3-controls.md#s3-13) | S3 通用存储桶应具有生命周期配置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [S3.14](s3-controls.md#s3-14) | S3 通用存储桶应启用版本控制 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.15](s3-controls.md#s3-15) | S3 通用存储桶应启用对象锁定 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [S3.17](s3-controls.md#s3-17) | S3 通用存储桶应使用静态加密 Amazon KMS keys | NIST SP 800-53 Rev. 5,NIST SP 800-171 Rev. 2,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.19](s3-controls.md#s3-19) | S3 接入点应启用屏蔽公共访问权限设置 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.20](s3-controls.md#s3-20) | S3 通用存储桶应启用 MFA 删除功能 | 独联体 Amazon 基金会基准 v5.0.0、独联体 Amazon 基金会基准 v3.0.0、独联体基金会基准 v1.4.0、NIS Amazon T SP 800-53 修订版 5 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.22](s3-controls.md#s3-22) | S3 通用存储桶应记录对象级写入事件 | 独联体 Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [S3.23](s3-controls.md#s3-23) | S3 通用存储桶应记录对象级读取事件 | 独联体 Amazon 基金会基准 v5.0.0、CIS Amazon 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [S3.24](s3-controls.md#s3-24) | S3 多区域接入点应启用屏蔽公共访问权限设置 | Amazon 基础安全最佳实践,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [S3.25](s3-controls.md#s3-25) | S3 目录存储桶应具有生命周期配置 | Amazon 基础安全最佳实践 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SageMaker1](sagemaker-controls.md#sagemaker-1)。 | Amazon SageMaker 笔记本实例不应直接访问互联网 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [SageMaker.2](sagemaker-controls.md#sagemaker-2) | SageMaker 笔记本实例应在自定义 VPC 中启动 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.3](sagemaker-controls.md#sagemaker-3) | 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.4](sagemaker-controls.md#sagemaker-4) | SageMaker 端点生产变体的初始实例数应大于 1 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [SageMaker.5](sagemaker-controls.md#sagemaker-5) | SageMaker 模型应启用网络隔离 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.6](sagemaker-controls.md#sagemaker-6) | SageMaker 应用映像配置应加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SageMaker.7](sagemaker-controls.md#sagemaker-7) | SageMaker 应给图片加标签 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SageMaker.8](sagemaker-controls.md#sagemaker-8) | SageMaker 笔记本实例应在支持的平台上运行 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [SageMaker.9](sagemaker-controls.md#sagemaker-9) | SageMaker 数据质量任务定义应启用容器间流量加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.10](sagemaker-controls.md#sagemaker-10) | SageMaker 模型可解释性任务定义应启用容器间流量加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.11](sagemaker-controls.md#sagemaker-11) | SageMaker 数据质量作业定义应启用网络隔离 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.12](sagemaker-controls.md#sagemaker-12) | SageMaker 模型偏差任务定义应启用网络隔离 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.13](sagemaker-controls.md#sagemaker-13) | SageMaker 模型质量任务定义应启用容器间流量加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.14](sagemaker-controls.md#sagemaker-14) | SageMaker 监控计划应启用网络隔离 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SageMaker.15](sagemaker-controls.md#sagemaker-15) | SageMaker 模型偏差任务定义应启用容器间流量加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SecretsManager1](secretsmanager-controls.md#secretsmanager-1)。 | Secrets Manager 密钥应启用自动轮换 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SecretsManager.2](secretsmanager-controls.md#secretsmanager-2) | 配置自动轮换的 Secrets Manager 密钥应成功轮换 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SecretsManager.3](secretsmanager-controls.md#secretsmanager-3) | 移除未使用 Secrets Manager 密钥 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [SecretsManager.4](secretsmanager-controls.md#secretsmanager-4) | Secrets Manager 密钥应在指定的天数内轮换 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 定期 | | [SecretsManager.5](secretsmanager-controls.md#secretsmanager-5) | 应标记 Secrets Manager 密钥 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [ServiceCatalog1](servicecatalog-controls.md#servicecatalog-1)。 | Service Catalog 产品组合只能在 Amazon 组织内部共享 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [SES.1](ses-controls.md#ses-1) | 应标记 SES 联系人名单 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SES.2](ses-controls.md#ses-2) | 应标记 SES 配置集 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SES.3](ses-controls.md#ses-3) | SES 配置集应启用 TLS 以发送电子邮件 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SNS.1](sns-controls.md#sns-1) | SNS 主题应使用以下方法进行静态加密 Amazon KMS | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SNS.3](sns-controls.md#sns-3) | 应标记 SNS 主题 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SNS.4](sns-controls.md#sns-4) | SNS 主题访问策略不应允许公共访问 | Amazon 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SQS.1](sqs-controls.md#sqs-1) | 应对 Amazon SQS 队列进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SQS.2](sqs-controls.md#sqs-2) | 应标记 SQS 队列 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SQS.3](sqs-controls.md#sqs-3) | SQS 队列访问策略不应允许公开访问 | Amazon 基础安全最佳实践 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SSM.1](ssm-controls.md#ssm-1) | EC2 实例应由以下人员管理 Amazon Systems Manager | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SSM.2](ssm-controls.md#ssm-2) | 由 Systems Manager 管理的 EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2,PCI DSS v3.2.1,PCI DSS v4.0.1,PCI DSS v4.0.1 | HIGH(高) | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SSM.3](ssm-controls.md#ssm-3) | 由 Systems Manager 管理的 EC2 实例的关联合规性的状态应为 COMPLIANT | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [SSM.4](ssm-controls.md#ssm-4) | SSM 文档不应公开 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [SSM.5](ssm-controls.md#ssm-5) | 应标记 SSM 文档 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [SSM.6](ssm-controls.md#ssm-6) | SSM 自动化应该 CloudWatch 启用日志记录 | Amazon 基础安全最佳实践 v1.0.0 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [SSM.7](ssm-controls.md#ssm-7) | SSM 文档应启用“阻止公开共享”设置 | Amazon 基础安全最佳实践 v1.0.0 | 关键 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [StepFunctions1](stepfunctions-controls.md#stepfunctions-1)。 | Step Functions 状态机应该开启日志功能 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [StepFunctions.2](stepfunctions-controls.md#stepfunctions-2) | 应标记 Step Functions 活动 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Transfer.1](transfer-controls.md#transfer-1) | 应标记 Transfer Family 工作流程 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Transfer.2](transfer-controls.md#transfer-2) | Transfer Family 服务器不应使用 FTP 协议进行端点连接 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [转账。3](transfer-controls.md#transfer-3) | Transfer Family 连接器应启用日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [转账。4](transfer-controls.md#transfer-4) | 应标记 Transfer Family 协议 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [转账.5](transfer-controls.md#transfer-5) | 应标记 Transfer Family 证书 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Transfer.6](transfer-controls.md#transfer-6) | 应标记 Transfer Family 连接器 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [Transfer.7](transfer-controls.md#transfer-7) | 应标记 Transfer Family 配置文件 | Amazon 资源标签标准 | 低 | ![\[Yes\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-yes.png) 是 | 变更已触发 | | [WAF.1](waf-controls.md#waf-1) | Amazon 应启用 WAF 经典版全球 Web ACL 日志记录 | Amazon 基础安全最佳实践,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [WAF.2](waf-controls.md#waf-2) | Amazon WAF 经典区域规则应至少有一个条件 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.3](waf-controls.md#waf-3) | Amazon WAF 经典区域规则组应至少有一条规则 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.4](waf-controls.md#waf-4) | Amazon WAF 经典区域网站 ACLs 应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.6](waf-controls.md#waf-6) | Amazon WAF 经典版全局规则应至少有一个条件 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.7](waf-controls.md#waf-7) | Amazon WAF 经典版全局规则组应至少有一条规则 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.8](waf-controls.md#waf-8) | Amazon WAF Classic 全球网站 ACLs 应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.10](waf-controls.md#waf-10) | Amazon WAF Web ACLs 应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WAF.11](waf-controls.md#waf-11) | Amazon 应启用 WAF 网络 ACL 日志记录 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 定期 | | [WAF.12](waf-controls.md#waf-12) | Amazon WAF 规则应启用 CloudWatch 指标 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,NIST SP 800-171 修订版 2 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WorkSpaces1](workspaces-controls.md#workspaces-1)。 | WorkSpaces 用户卷应在静态时加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 | | [WorkSpaces.2](workspaces-controls.md#workspaces-2) | WorkSpaces 根卷应在静态时加密 | Amazon 基础安全最佳实践 | 中 | ![\[No\]](http://docs.amazonaws.cn/securityhub/latest/userguide/images/icon-no.png)没有 | 变更已触发 |