[PCI。AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用运行状况检查 [PCI。CloudTrail1] CloudTrail 日志应使用静态加密Amazon KMS keys [PCI。CloudTrail2] CloudTrail 应启用 [PCI。CloudTrail.3] CloudTrail 应启用日志文件验证 [PCI。CloudTrail.4] CloudTrail 步道应与 CloudWatch 日志 [PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth [PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书 [PCI.Config.1] 应启用 Amazon Config [PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选器和警报 [PCI.DMS.1]Amazon Database Migration Service复制实例不应公开 [PCI.EC2.1] 亚马逊 EBS 快照不应公开恢复 [PCI.EC2.2] VPC 默认安全组应禁止入站和出站流量 [PCI.EC2.3] 应删除未使用的 EC2 安全组（已停用）[PCI.EC2.4] 应删除未使用的 EC2 EIP [PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22 [PCI.EC2.6] 应在所有 VPC 中启用 VPC 流量记录 [PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS [PCI.ES.1] Elasticsearch 域应该在 VPC 中 [PCI.ES.2] Elasticsearch 域应启用静态加密 [PCI。GuardDuty1] GuardDuty 应启用 [PCI.IAM.1] IAM 根用户访问密钥不应存在 [PCI.IAM.2] IAM 用户不应附加 IAM 策略 [PCI.IAM.3] IAM 策略不应允许完全“*”管理权限 [PCI.IAM.4] 应该为根用户启用硬件 MFA [PCI.IAM.5] 应该为根用户启用虚拟 MFA [PCI.IAM.6] 应为所有 IAM 用户启用 MFA [PCI.IAM.7] 如果在预定义的天数内未使用 IAM 用户证书，则应禁用 [PCI.IAM.8] IAM 用户的密码策略应具有强配置 [PCI.KMS.1] 应启用 KMS 密钥轮换 [PCI.Lambda.1] Lambda 函数应禁止公共访问 [PCI.Lambda.2] Lambda 函数应位于 VPC 中 [PCI。OpenSearch.1] 亚马逊 OpenSearch 服务域应位于 VPC 中 [PCI。OpenSearch2] OpenSearch 域应启用静态加密 [PCI.RDS.1] 亚马逊 RDS 快照应禁止公共访问 [PCI.RDS.2] Amazon RDS 数据库实例应禁止公共访问，由以下因素决定 PubliclyAccessible 配置 [pci.redshift.1] Amazon Redshift 集群应禁止公共访问 [PCI.S3.1] S3 存储桶应禁止公开写入访问 [PCI.S3.2] S3 存储桶应禁止公开读取访问 [PCI.S3.3] S3 存储桶应启用跨区域复制 [PCI.S3.4] S3 存储桶应启用服务器端加密 [PCI.S3.5] S3 存储桶应要求请求才能使用安全套接字层 [PCI.S3.6] 应启用 S3 阻止公有访问设置 [PCI。SageMaker.1] 亚马逊 SageMaker 笔记本电脑实例不应直接访问互联网 [PCI.SSM.1] 安装补丁后，由 Systems Manager 管理的 Amazon EC2 实例的补丁合规状态应为 “合规”[PCI.SSM.2] 由 Systems Manager 管理的实例的关联合规状态应为COMPLIANT [PCI.SSM.3] EC2 实例应由以下人员管理Amazon Systems Manager

PCI DSS 控制

Security Hub 中的 PCI DSS 支持以下控件。对于每个控制，该信息包括严重性、资源类型、Amazon Config 规则和修复步骤。

[PCI。AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用运行状况检查

严重性：低

资源类型： AWS::AutoScaling::AutoScalingGroup

Amazon Config 规则：autoscaling-group-elb-healthcheck-required

Schedule 类型：已触发更改

参数：None（无）

此控件检查与负载均衡器关联的 Auto Scaling 组是否正在使用 Elastic Load Balancing 运行状况检查。

PCI DSS 不需要使用负载均衡或高可用性配置。不过，该检查符合 Amazon 最佳实践。

修复

启用 Elastic Load Balancing 运行状况检查

通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。
在导航窗格的 Auto Scaling 下，选择 Auto Scaling 组。
要从列表中选择群组，请选择右边的复选框。
从 Actions (操作) 中，选择 Edit (编辑)
对于运行状况检查类型，请选择 ELB。
对于运行状况检查宽限期，输入 300。
选择 Save（保存）。

有关在 Auto Scaling 组中使用负载均衡器的更多信息，请参阅Amazon EC2 Auto Scaling 用户指南.

[PCI。CloudTrail1] CloudTrail 日志应使用静态加密Amazon KMS keys

合规性严重性 中

资源类型： AWS::CloudTrail::Trail

Amazon Config 规则：cloud-trail-encryption-enabled

Schedule 类型：定期

参数：None（无）

此控件检查是否Amazon CloudTrail配置为使用服务器端加密 (SSE)Amazon KMS key加密。

如果仅使用默认加密选项，您可以选择禁用该检查。

修复

要修复此问题，请为您的启用加密 CloudTrail 日志文件。

有关如何加密的详细信息 CloudTrail 使用以下方式记录文件Amazon KMS托管密钥 (SSE-KMS)，请参阅加密 CloudTrail 使用以下方式记录文件Amazon KMS—托管密钥 (SSE-KMS)在Amazon CloudTrail用户指南.

[PCI。CloudTrail2] CloudTrail 应启用

合规性严重性 高

资源类型： Amazon帐户

Amazon Config 规则：cloudtrail-enabled

类型：Schedule 定期

参数：None（无）

此控件检查是否 CloudTrail 已在您的中启用Amazon账户。

不过，某些 Amazon 服务不会为所有 API 和事件启用日志记录。除了 CloudTrail 并在中查看每项服务的文档CloudTrail 支持的服务和集成.

修复

在 CloudTrail

登录Amazon Web Services Management Console使用您为其配置的 IAM 用户 CloudTrail管理。
打开 CloudTrail 控制台为https://console.aws.amazon.com/cloudtrail/.
在 Region (区域) 选择器中，选择要在其中创建跟踪的 Amazon 区域。这是跟踪的主区域。

主区域是一个唯一的 Amazon 区域，在此区域中，您可以在创建跟踪之后查看和更新跟踪，即使此跟踪记录所有 Amazon 区域中的事件也不例外。
在导航窗格中，选择 Trails（跟踪记录）。
在 Trails (跟踪) 页面上，选择 Get Started Now (立即开始使用)。如果您没有看到该选项，请选择 Create Trail (创建跟踪)。
在 Trail name (跟踪名称) 中，指定跟踪的名称，例如 My-Management-Events-Trail。

作为最佳实践，请使用可快速识别跟踪用途的名称。在这种情况下，您正在创建的跟踪将记录管理事件。
在 Management Events (管理事件) 中，确保 Read/Write events (读/写事件) 设置为 All (全部)。
在 Data Events (数据事件) 中，请勿进行任何更改。此跟踪不会记录任何数据事件。
为日志创建新的 S3 存储桶：
1. 在存储位置中，在创建新的 S3 存储桶中选择是。
2. 在 S3 bucket (S3 存储桶) 中，指定存储桶的名称，例如 my-bucket-for-storing-cloudtrail-logs。
  
  S3 存储桶的名称必须是全局唯一的。有关 S3 存储桶命名要求的更多信息，请参阅。Amazon CloudTrail用户指南.
3. 下面高级，选择是两者兼得使用 SSE-KMS 加密日志文件和启用日志文件验证.
选择 Create（创建）。

有关更多详细信息，请参阅中的教程Amazon CloudTrail用户指南.

[PCI。CloudTrail.3] CloudTrail 应启用日志文件验证

合规性严重性 低

资源类型： AWS::CloudTrail::Trail

Amazon Config 规则：cloud-trail-log-file-validation-enabled

Schchule 结构：定期

参数：None（无）

此控件检查是否 CloudTrail 日志文件验证已启用。

它不会检查何时修改了配置。

要监控日志文件更改并发出警报，您可以使用 Amazon EventBridge 要么 CloudWatch 指标筛选条件。

修复

启用 CloudTrail 日志文件验证

打开 CloudTrail 控制台https://console.aws.amazon.com/cloudtrail/.
选择 Trails (跟踪)。
在 Name (名称) 列中，选择要编辑的跟踪的名称。
下面一般详细信息，选择编辑.
下面其他设置，对于日志文件验证，selectEnabled.
选择 Save（保存）。

[PCI。CloudTrail.4] CloudTrail 步道应与 CloudWatch 日志

严重性：低

资源类型： AWS::CloudTrail::Trail

Amazon Config 规则：cloud-trail-cloud-watch-logs-enabled

Schedule 类型：定期

参数：None（无）

此控件检查是否 CloudTrail 跟踪配置为将日志发送到 CloudWatch 日志。

它不会检查修改日志或日志组的用户权限。您应该创建特定的 CloudWatch 在何时提醒的规则 CloudTrail 日志已更改。

此控件也不会检查除此之外的任何其他审计日志来源 CloudTrail被发送到 a CloudWatch 日志组。

修复

为了确保 CloudTrail 步道与 CloudWatch 日志

打开 CloudTrail 控制台https://console.aws.amazon.com/cloudtrail/.
选择 Trails (跟踪)。
选择一条没有价值的路线CloudWatch 日志日志组列。
向下滚动到CloudWatch 日志部分，然后选择编辑.
对于日志组字段，执行以下操作之一：
- 要使用默认日志组，请保持名称不变。
- 要使用现有日志组，请选择现有然后输入要使用的日志组的名称。
- 要创建新的日志组，请选择new然后输入要创建的日志组的名称。
选择 Continue（继续）。
对于 IAM role (IAM 角色)，执行以下操作之一：
- 要使用现有角色，请选择现有然后从下拉列表中选择角色。
- 要创建新角色，请选择new然后输入要创建的角色的名称。
  
  将为新角色分配一个策略以授予所需的权限。
要查看授予该角色的权限，请展开策略文档.
选择 Save changes（保存更改）。

有关配置的更多信息 CloudWatch 使用控制台监控日志，请参阅Amazon CloudTrail用户指南.

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth

严重性：重大

资源类型： AWS::CodeBuild::Project

Amazon Config 规则：codebuild-project-source-repo-url-check

Schedule 类型：已触发更改

参数：None（无）

此控件检查是否 GitHub 或 Bitbucket 源存储库 URL 包含个人访问令牌或用户名和密码。

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）
Amazon GovCloud （美国东部）
Amazon GovCloud （美国西部）

修复

删除基本身份验证/(GitHub) 个人访问令牌来自 CodeBuild 项目来源

打开 CodeBuild 控制台https://console.aws.amazon.com/codebuild/.
选择包含个人访问令牌或用户名和密码的 Build 项目。
从 Edit (编辑) 中，选择 Source (源)。
选择断开连接 GitHub /Bitbuck.
选择使用 OAuth 进行Connect然后选择连接到 GitHub /Bitbuck.
在源提供商显示的消息中，进行相应的授权。
根据需要，重新配置 Repository URL (存储库 URL) 和 additional configuration (其他配置) 设置。
选择 Update source (更新源)。

SELECT CodeBuild 使用基于案例的示例，请参阅Amazon CodeBuild用户指南.

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书

严重性：重大

资源类型： AWS::CodeBuild::Project

Amazon Config 规则：codebuild-project-envvar-awscred-check

计划：已触发更改

参数：None（无）

该控制检查项目是否包含环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）
Amazon GovCloud （美国东部）
Amazon GovCloud （美国西部）

修复

要在中引用敏感数据 CodeBuild 运行时使用环境变量，使用以下步骤。

删除环境变量

打开 CodeBuild 控制台https://console.aws.amazon.com/codebuild/.
展开 Build (构建)，选择 Build project (构建项目)，然后选择包含明文凭证的构建项目。
从 Edit (编辑) 中，选择 Environment (环境)。
展开 Additional configuration (其他配置)，然后滚动到 Environment variables (环境变量)。
选择环境变量旁边的 Remove (删除)。
选择 Update environment (更新环境)。

将敏感值存储在 Amazon EC2 Systems Manager 参数存储库中，然后从您的构建规范中检索它们

打开 CodeBuild 控制台https://console.aws.amazon.com/codebuild/.
展开 Build (构建)，选择 Build project (构建项目)，然后选择包含明文凭证的构建项目。
从 Edit (编辑) 中，选择 Environment (环境)。
展开 Additional configuration (其他配置)，然后滚动到 Environment variables (环境变量)。
中Amazon Systems Manager，创建一个包含您的敏感数据的Systems Manager 参数。有关如何执行此操作的说明，请参阅中的教程Amazon Systems Manager用户指南.
在创建参数后，复制参数名称。
回来了 CodeBuild 控制台，选择创建环境变量.
对于 name (名称)，输入在构建规范中显示的变量名称。
对于 value (值)，粘贴参数名称。
从 type (类型)中，选择 Parameter (参数)。
选择删除在包含纯文本凭证的不合规环境变量旁边。
选择 Update environment (更新环境)。

有关构建环境中环境变量的信息，请参阅Amazon CodeBuild用户指南.

[PCI.Config.1] 应启用 Amazon Config

严重性：中

资源类型： Amazon帐户

Amazon Config规则：无。要运行此检查，Security Hub 会运行中为其规定的审核步骤保护Amazon Web Services. 不会在您的 Amazon 环境中为该检查创建任何 Amazon Config 托管规则。

Schedule 类型：定期

参数：None（无）

该控制检查是否已在账户中为本地区域启用了 Amazon Config，并记录所有资源。

它不会检查所有关键系统文件和内容文件的更改检测，因为 Amazon Config 仅支持一部分资源类型。

Amazon Config 服务对您账户中支持的 Amazon 资源执行配置管理，并向您提供日志文件。记录的信息包括配置项（Amazon 资源）、配置项之间的关系以及资源之间的任何配置更改。

Security Hub 建议您启用Amazon Config在所有区域。Amazon Config 捕获的 Amazon 配置项历史记录可用于安全分析、资源更改跟踪和合规性审计。

注意

由于 Security Hub 是一项区域服务，因此对此控制执行的检查仅检查该账户的当前区域。它不会检查所有区域。

要允许针对每个区域中的全局资源进行安全检查，您还必须记录全局资源。如果您仅在一个区域中记录全局资源，则可以在所有区域（记录全局资源的区域除外）中禁用此控件。

有关更多信息，请参见 Amazon Config 开发人员指南。

修复

配置 Amazon Config 设置

通过以下网址打开 Amazon Config 控制台：https://console.aws.amazon.com/config/。
选择要在其中配置 Amazon Config 的区域。
如果你还没用过Amazon Config以前，请参阅开始使用在Amazon Config开发人员指南.
从菜单导航到 “设置” 页面，然后执行以下操作：
- 选择 Edit（编辑）。
- 下面要记录的资源类型，select记录该地区支持的所有资源和包括全球资源（例如AmazonIAM 资源）.
- 下面数据保留期，请选择默认的保留期Amazon Config数据，或者指定自定义保留期。
- 下面Amazon Config角色，要么选择CreateAmazon Config服务相关角色或者选择从您的账户中选择一个角色然后选择要使用的角色。
- 在 Amazon S3 bucket (Amazon S3 存储桶) 下面，指定要使用的存储桶，或者创建存储桶并包括前缀（可选）。
- 下面Amazon SNS 主题，从您的账户中选择一个 Amazon SNS 主题或创建一个。有关 Amazon SNS 的更多信息，请参阅Amazon Service 入门指南.
选择 Save（保存）。

有关使用的更多信息Amazon Config来自的Amazon CLI，请参阅Amazon Config开发人员指南.

您还可以使用 Amazon CloudFormation 模板自动执行这一过程。有关更多信息，请参阅 Amazon CloudFormation 用户指南。

[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选器和警报

严重性：重大

资源类型： Amazon帐户

Amazon Config规则：无。Security Hub 无需创建Amazon Config你的托管规则Amazon记下这张支票。

Schedule 类型：定期

参数：None（无）

此控件会检查 CloudWatch 指标筛选条件使用以下模式：


{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

它检查以下内容：

日志组名称已配置为与活跃的多区域一起使用 CloudTrail.
跟踪具有至少一个事件选择器，将 IncludeManagementEvents 设置为 true 并将 ReadWriteType 设置为 All。
至少有一个与警报相关的 Amazon SNS 主题的活跃订阅者。

注意

当 Security Hub 对此控件执行检查时，它会查找 CloudTrail 当前账户使用的线索。这些跟踪可能是属于另一个账户的组织跟踪。多区域路线也可能位于不同的区域。

检查结果为FAILED在以下案例中的发现：

未配置任何跟踪。
当前区域内且由往来账户拥有的可用跟踪不符合控制要求。

检查得出的控制状态为NO_DATA在以下情况下：

多区域路线位于不同的区域。Security Hub 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查结果。

对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用来获得 Amazon SNS 主题的访问权限ListSubscriptionsByTopic. 否则Security HubWARNING对照调查结果。

修复

修复此问题的步骤包括设置 Amazon SNS 主题、指标筛选条件和指标筛选条件警报。

这些步骤与修复 3.3 — 确保存在使用根用户的日志指标筛选条件和警报结果的步骤相同。

创建 Amazon SNS 主题

通过以下网址打开 Amazon SNS 控制台：https://console.aws.amazon.com/sns/v3/home。
创建 Amazon SNS 主题，用于接收所有 CIS 警报。

为该主题创建至少一个订阅者。

有关如何创建 Amazon SNS 主题的更多信息，请参阅。Amazon Service 开发人员指南.
设置一个 Authorize CloudTrail 适用于所有区域的路线。

为此，请按照2.1 — 确保 CloudTrail 在所有区域均已启用中的修复步骤进行操作。

记下关联的日志组名称。

创建指标筛选条件和警报

打开 CloudWatch 控制台https://console.aws.amazon.com/cloudwatch/.
选择日志，然后选择日志组.
选择日志组，其中 CloudTrail 正在记录。
在日志组详细信息页面上，选择指标筛选条件.
选择 Create metric filter（创建指标筛选条件）。

复制以下图案然后将其粘贴到筛选模式.


{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

选择 Next（下一步）。
输入新筛选器的名称。例如，RootAccountUsage。
确认的值指标命名空间是LogMetrics.

这可确保将所有 CIS 基准指标分组到一起。
中指标名称，输入指标的名称。
中指标值，输入1，然后选择下一页.
选择 Create metric filter（创建指标筛选条件）。
接下来，设置通知。选择刚刚创建的指标筛选条件，然后选择创建警报.
输入警报的阈值（例如1），然后选择下一页.
下面选择 SNS 主题，对于发送通知到，选择电子邮件列表，然后选择下一页.
输入名称和说明用于警报，例如RootAccountUsageAlarm，然后选择下一页.
选择 Create Alarm（创建告警）。

[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开

合规性严重性重大

资源类型： AWS::DMS::ReplicationInstance

Amazon Config 规则：dms-replication-not-public

Schedule 类型：定期

参数：None（无）

此控件检查是否Amazon DMS复制实例是公共的。为此，它会检查PubliclyAccessible字段中返回的子位置类型。

私有复制实例有一个私有 IP 地址，您无法在复制网络之外访问该地址。当源数据库和目标数据库位于同一个网络中，并且该网络使用 VPN 连接到复制实例的 VPC 时，复制实例应具有私有 IP 地址，Amazon Direct Connect，或 VPC 对等。要了解有关公有和私有复制实例的更多信息，请参阅公有复制实例和私有复制实例在Amazon Database Migration Service用户指南.

您还应确保访问您的Amazon DMS实例配置仅限于授权用户。为此，请限制用户的 IAM 修改权限Amazon DMS设置和资源。

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

请注意，一旦创建了复制实例，就无法更改公共访问设置。必须将其删除并重新创建。

配置Amazon DMS复制实例设置为不可公开访问

打开 Amazon Database Migration Service 控制台 (https://console.aws.amazon.com/dms/)。
在左侧导航窗格中，在资源管理，导航到复制实例.
要删除公共实例，请选中该实例的复选框，然后选择操作，然后选择删除.
选择创建复制实例。提供配置详情。
要禁用公共访问权限，请确保公开访问未被选中。
选择 Create（创建）。

有关更多信息，请参阅以下部分创建复制实例在Amazon Database Migration Service用户指南.

[PCI.EC2.1] 亚马逊 EBS 快照不应公开恢复

合规性严重性 重大

资源类型： AWS::EC2::Volume

Amazon Config 规则：ebs-snapshot-public-restorable-check

Schedule 类型：定期

参数：None（无）

此控制检查亚马逊弹性区块存储快照是否不可由所有人公开恢复。除非您明确允许，否则不应让所有人公开恢复 Amazon EBS 快照，以避免意外泄露贵公司的敏感数据。

您还应确保更改 Amazon EBS 配置的权限仅限于获得授权Amazon仅限账户。要了解有关管理 Amazon EBS 快照权限的更多信息，请参阅适用于Linux 实例的 Amazon EC2 用户指南.

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

将公开的 Amazon EBS 快照设为私有

通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。
在导航窗格中，在弹性方块存储，选择快照然后选择您的公共快照。
选择 Actions (操作)，然后选择 Modify permissions (修改权限)
选择 Private (私有)
（可选）添加Amazon与之共享快照的授权账户的账号。
选择 Save

有关共享 Amazon EBS 快照的更多信息，请参阅。适用于Linux 实例的 Amazon EC2 用户指南.

[PCI.EC2.2] VPC 默认安全组应禁止入站和出站流量

合规性严重性 中

资源类型： AWS::EC2::SecurityGroup

Amazon Config 规则：vpc-default-security-group-closed

Schedule 类型：已触发更改

参数：None（无）

该控制检查 VPC 的默认安全组是否不允许入站或出站流量。

它不会检查其他非默认安全组和其他 VPC 配置的访问限制。

修复

要修复此问题，请创建新的安全组并将这些安全组分配给您的资源。为防止使用默认安全组，请删除其入站和出站规则。

创建新的安全组并将其分配给您的资源

通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。
在导航窗格中，选择 Security groups（安全组）。查看默认安全组详细信息以了解分配给它们的资源。
为资源创建一组最小权限安全组。有关如何创建安全组的详细信息，请参阅创建安全组在Amazon VPC User Guide.
通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。
在 Amazon EC2 控制台上，将使用默认安全组的资源的安全组更改为您创建的最低权限安全组。请参阅更改实例的安全组在Amazon VPC User Guide.

将新安全组分配给资源后，从默认安全组中移除入站和出站规则。这样可以确保不使用默认安全组。

从默认安全组中移除规则

通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。
在导航窗格中，选择 Security groups（安全组）。
选择默认安全组，然后选择入站规则选项卡。选择 Edit inbound rules（编辑入站规则）。然后删除所有入站规则。选择 Save rules（保存规则）。
对每个默认安全组重复上一步骤。
选择默认安全组并选择出站规则选项卡。选择编辑出站规则. 然后删除所有出站规则。选择 Save rules（保存规则）。
对每个默认安全组重复上一步骤。

有关在 Amazon VPC 中使用安全组的更多信息，请参阅。Amazon VPC User Guide.

[PCI.EC2.3] 应删除未使用的 EC2 安全组（已停用）

该控件已停用。

[PCI.EC2.4] 应删除未使用的 EC2 EIP

合规性严重性 低

资源类型： AWS::EC2::EIP

Amazon Config 规则：eip-attached

Schedule 类型：已触发更改

参数：None（无）

此控制检查分配给 VPC 的弹性 IP 地址是否连接到 Amazon EC2 实例或正在使用的弹性网络接口 (ENI)。

如果发现失败，则表明您可能有未使用的 Amazon EC2 EIP。

这将帮助您在持卡人数据环境（CDE）中维护EIP的准确资产清单。

注意

此控件在非洲（开普敦）或欧洲（米兰）不支持。

修复

如果您不再需要弹性 IP 地址，Security Hub 建议您释放该地址（地址不得与实例关联）。

使用控制台释放弹性 IP 地址

通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。
在导航窗格中的网络与安全下，选择弹性 IP。
选择弹性 IP 地址，选择操作，然后选择释放弹性 IP 地址.
系统提示时，选择 Release。

有关更多信息，请参阅中有关释放弹性 IP 地址的更多信息，请参阅。适用于Linux 实例的 Amazon EC2 用户指南.

[PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22

合规性严重性 高

资源类型： AWS::EC2::SecurityGroup

Amazon Config 规则：restricted-ssh

Schedule 类型：触发变更了

参数：None（无）

此控件检查正在使用的安全组是否禁止不受限制的传入 SSH 流量。

它不评估出站流量。

请注意，安全组是有状态的。如果您从实例发送一个请求，则无论入站安全组规则如何，都将允许该请求的响应流量流入。如果是为响应已允许的入站流量，则该响应可以出站，此时可忽略出站规则。要了解有关安全组的更多信息，请参阅您的 VPC 的安全组在Amazon VPC User Guide.

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

对与 VPC 关联的每个安全组执行以下步骤。

从安全组移除对端口 22 的访问权限

通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。
在导航窗格中，在安全，选择安全组.
选择一个安全组。
在页面底部，选择入站规则.
选择 Edit inbound rules（编辑入站规则）。
确定允许通过端口 22 进行访问的规则，然后选择 X 将其删除。
选择 Save rules（保存规则）。

[PCI.EC2.6] 应在所有 VPC 中启用 VPC 流量记录

合规性严重性 中

资源类型： AWS::EC2::VPC

Amazon Config 规则：vpc-flow-logs-enabled

Schedule 类型：定期

参数：

trafficType – REJECT

此控件检查是否找到 VPC 流日志并启用了 VPC 流日志。流量类型设置为REJECT.

使用 VPC 流日志，您可以捕获有关在您的 VPC 中传入和传出网络接口的 IP 地址流量的信息。在创建流日志后，您可以使用 CloudWatch 用于查看和检索日志数据的日志。

Security Hub 建议您为 VPC 的数据包拒绝启用流量记录。流日志提供了通过 VPC 的网络流量的可见性。它们可以检测异常流量并提供对安全工作流程的见解。

默认情况下，记录包括 IP 地址流的不同组件的值，包括源、目标和协议。有关日志字段的更多信息和描述，请参阅VPC 流日志在Amazon VPC User Guide.

修复

要修复此问题，请启用 VPC 流量记录。

启用 VPC 流日志记录

通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。
在导航窗格中，在虚拟私有云，选择您的 VPC.
选择要更新的 VPC。
在页面底部，选择流日志.
选择 Create flow log（创建流日志）。
对于 Filter (筛选条件)，选择 Reject (拒绝)。
对于目标日志组，选择要使用的日志组。
如果你选择了CloudWatch 日志对于您的目标日志组，对于IAM 角色，选择要使用的 IAM 角色。
选择 Create（创建）。

[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

合规性严重性 中

资源类型： AWS::ElasticLoadBalancingV2::LoadBalancer

Amazon Config 规则：alb-http-to-https-redirection-check

Schedule 类型：定期

参数：None（无）

此控件检查应用程序负载均衡器的所有 HTTP 侦听器上是否配置了 HTTP 到 HTTPS 重定向。如果应用程序负载均衡器的任何 HTTP 侦听器未配置 HTTP 到 HTTPS 重定向，则控制将失败。

在开始使用Application Load Balancer 之前，必须添加一个或多个侦听器。侦听器是使用配置的协议和端口检查连接请求的进程。监听器支持 HTTP 和 HTTPS 协议。您可以使用 HTTPS 侦听器将加密和解密的工作交给负载均衡器完成。要在传输过程中强制加密，您应该使用应用程序负载均衡器的重定向操作，将客户端 HTTP 请求重定向到端口 443 上的 HTTPS 请求。

要了解更多信息，请参阅Application Load Balancer 的侦听器在适用于应用程序负载均衡器的用户指南.

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

要修复此问题，请将 HTTP 请求重定向到 HTTPS。

在Application Load Balancer 上将 HTTP 请求重定向到 HTTPS

通过以下网址打开 Amazon EC2 控制台：https://console.aws.amazon.com/ec2/。
在导航窗格中，在负载均衡，选择负载均衡器.
选择Application Load Balancer。
选择侦听器.
选中 HTTP 侦听器（端口 80 TCP）的复选框，然后选择编辑.
如果存在现有规则，则必须将其删除。否则，选择添加操作然后选择重定向为....
选择 HTTPS，然后输入 443。
选择圆形符号中的复选标记，然后选择 Update (更新)。

[PCI.ES.1] Elasticsearch 域应该在 VPC 中

合规性严重性 重大

资源类型： AWS::Elasticsearch::Domain

Amazon Config 规则：elasticsearch-in-vpc-only

Schedule 类型：定期

参数：None（无）

此控件检查 Elasticsearch 域是否在 VPC 中。

它不会评估 VPC 子网路由配置以确定可公开访问性。

这个Amazon控件也不会检查是否 OpenSearch 基于服务资源的策略允许其他账户或外部实体进行公共访问。您应该确保 Elasticsearch 域未连接到公有子网。请参阅基于资源的策略在亚马逊 OpenSearch 服务开发人员指南.

您还应该确保根据建议的最佳实践配置了 VPC。请参阅VPC 的安全最佳实践在Amazon VPC User Guide.

注意

亚太地区（大阪）不支持此控件。

修复

如果您创建一个具有公有终端节点的域，则以后无法将其放置在 VPC 中。您必须创建一个新的域，然后迁移数据。

反之亦然。如果在 VPC 中创建一个域，则该域不能具有公有终端节点。您必须创建另一个域或禁用该控制。

请参阅启动您的Amazon OpenSearch VPC 中的服务域在亚马逊 OpenSearch 服务开发人员指南.

[PCI.ES.2] Elasticsearch 域应启用静态加密

合规性严重性 中

资源类型： AWS::Elasticsearch::Domain

Amazon Config 规则：elasticsearch-encrypted-at-rest

Schedule 类型：定期

参数：None（无）

此控件检查 Elasticsearch 域是否启用了静态加密配置。

注意

亚太地区（大阪）不支持此控件。

修复

默认情况下，域不对数据进行静态加密，并且您无法配置现有的域以使用该功能。

要启用该功能，您必须创建另一个域并迁移数据。有关创建域的信息，请参阅亚马逊 OpenSearch 服务开发人员指南.

静态数据加密需要 OpenSearch 服务 5.1 或更高版本。有关加密静态数据的更多信息 OpenSearch 服务，请参阅亚马逊 OpenSearch 服务开发人员指南.

[PCI。GuardDuty1] GuardDuty 应启用

合规性严重性 高

资源类型： Amazon帐户

Amazon Config 规则：guardduty-enabled-centralized

Schedule 类型：定期

参数：None（无）

此控件检查亚马逊是否 GuardDuty 已在您的中启用Amazon账户和区域。

而 GuardDuty 可以有效抵御入侵检测系统通常会保护的攻击，但它可能不是适用于所有环境的完整解决方案。该规则也不会检查是否向人员生成警报。有关的更多信息 GuardDuty，请参阅阅阅阅阅亚马逊 GuardDuty 用户指南.

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
China (Beijing)
China (Ningxia)
Europe (Milan)
Middle East (Bahrain)
Amazon GovCloud （美国东部）

修复

要修复此问题，请启用 GuardDuty.

有关如何启用的详细信息 GuardDuty，包括如何使用Amazon Organizations要管理多个账户，请参阅开始使用 GuardDuty在亚马逊 GuardDuty 用户指南.

[PCI.IAM.1] IAM 根用户访问密钥不应存在

合规性严重性 重大

资源类型： Amazon帐户

Amazon Config 规则：iam-root-access-key-check

Schedule 类型：定期

参数：None（无）

该控制检查根用户的用户访问密钥是否存在。

注意

此控件在非洲（开普敦）或亚太地区（大阪）不支持。

修复

要删除根用户访问密钥，请参阅删除根用户的访问密钥在IAM 用户指南.

[PCI.IAM.2] IAM 用户不应附加 IAM 策略

合规性严重性 低

资源类型： AWS::IAM::User

Amazon Config 规则：iam-user-no-policies-check

Schedule 类型：触发变更了

参数：None（无）

此控制可检查您的所有 IAM 用户是否都没有附加策略。IAM 用户必须继承 IAM 群组或角色的权限。

它不检查最低权限策略是否应用于 IAM 角色和群组。

注意

由亚马逊简单电子邮件服务创建的 IAM 用户是使用内联策略自动创建的。Security Hub 会自动免除这些用户的此控制。

修复

要解决这一问题，创建 IAM 组，并将该策略附加到组。然后，将用户添加到组中. 策略将应用于组中的每一位用户。要删除直接附加到用户的策略，请参阅添加和删除 IAM 身份权限在IAM 用户指南.

[PCI.IAM.3] IAM 策略不应允许完全“*”管理权限

合规性严重性 高

资源类型： AWS::IAM::Policy

Amazon Config 规则：iam-policy-no-statements-with-admin-access

类型：Schedule 触发变更了

参数：None（无）

该控制检查 Amazon Identity and Access Management 策略（也称为客户托管策略）的默认版本是否没有管理员访问权限，并且语句具有 "Effect": "Allow" with "Action": "*" over "Resource": "*"。

它仅检查您创建的客户托管策略，而不检查各个服务（例如“S3:*”）的完全访问权限。

它不会检查内联和Amazon托管策略.

修复

要修改您的 IAM 策略以使其不允许完整的 “*” 管理权限，请参阅编辑 IAM policy在IAM 用户指南.

[PCI.IAM.4] 应该为根用户启用硬件 MFA

合规性严重性 重大

资源类型 Amazon帐户

Amazon Config 规则：root-account-hardware-mfa-enabled

类型：Schedule 定期

参数：None（无）

这个控件会检查你是否Amazon账户已启用使用多重身份验证 (MFA) 硬件设备使用根用户证书登录。

它不会检查您是否使用虚拟 MFA。

要满足 PCI DSS 要求 8.3.1，您可以在硬件 MFA（该控制）和虚拟 MFA（[PCI.IAM.5] 应该为根用户启用虚拟 MFA）之间进行选择。

基于时间的一次性密码 (TOTP) 和通用第二重要素 (U2F) 令牌均可作为硬件 MFA 选项。

注意

以下区域不支持此控制。

China (Beijing)
China (Ningxia)
Amazon GovCloud （美国东部）
Amazon GovCloud （美国西部）

修复

要为根用户添加硬件 MFA 设备，请参阅为以下启用硬件 MFA 设备Amazon账户根用户（控制台）在IAM 用户指南.

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

合规性严重性 重大

资源类型 Amazon帐户

Amazon Config 规则：root-account-mfa-enabled

类型：Schedule 定期

参数：None（无）

此控件可检查您的用户是否为Amazon账户需要多重身份验证 (MFA) 设备才能使用根用户凭证登录。

它不会检查您是否使用硬件 MFA。

要满足 PCI DSS 要求 8.3.1，您可以在虚拟 MFA（该控制）和硬件 MFA（[PCI.IAM.4] 应该为根用户启用硬件 MFA）之间进行选择。

注意

以下区域不支持此控制。

China (Beijing)
China (Ningxia)
Amazon GovCloud （美国东部）
Amazon GovCloud （美国西部）

修复

要为根用户添加虚拟 MFA，请参阅为您的启用虚拟 MFA 设备Amazon账户根用户（控制台）在IAM 用户指南.

[PCI.IAM.6] 应为所有 IAM 用户启用 MFA

合规性严重性 中

资源类型 AWS::IAM::User

Amazon Config 规则：iam-user-mfa-enabled

类型：Schedule 定期

参数：None（无）

此控件会检查 IAM 用户是否启用了多重身份验证 (MFA)。

修复

要为 IAM 用户添加 MFA，请参阅在中使用多重身份验证 (MFA)Amazon在IAM 用户指南.

[PCI.IAM.7] 如果在预定义的天数内未使用 IAM 用户证书，则应禁用

合规性严重性 中

资源类型 AWS::IAM::User

Amazon Config 规则：iam-user-unused-credentials-check

类型：Schedule 定期

参数：

maxCredentialUsageAge: 90（天）

此控件检查您的 IAM 用户是否拥有在指定天数内未使用的密码或有效访问密钥。默认值为 90 天。

Security Hub 强烈建议您不要生成和删除账户中的所有访问密钥。相反，推荐的最佳做法是创建一个或多个 IAM 角色或者使用联合身份. 这些做法允许您的用户使用他们现有的公司凭证登录Amazon Web Services Management Console控制台和Amazon CLI.

每种方法都有其使用案例。对于拥有现有中央目录或计划需要超出当前 IAM 用户配额的企业，Federation 通常更好。在 Amazon 环境外运行的应用程序需要访问密钥才能对 Amazon 资源进行编程访问。

但是，如果需要提供编程访问的资源在 Amazon 内部运行，则最佳做法是使用 IAM 角色。您可以使用角色授予资源访问权限，而无需在配置中部署访问密钥 ID 和秘密访问密钥。

要了解有关保护您的访问密钥和账户的更多信息，请参阅管理的最佳实践Amazon访问密钥在Amazon一般参考. 另请参阅博客文章保护您的Amazon使用编程访问权限时的帐户.

如果您已经拥有访问密钥，我们建议您删除或停用在 90 天或更长时间内处于非活动状态的未使用用户证书。

此控件仅检查非活动密码或有效访问密钥。它不会在 90 天后禁用该帐户。客户有责任采取措施并禁用未使用的证书。

修复

要获取监控账户是否有过期证书所需的一些信息，请使用 IAM 控制台。例如，当您查看账户中的用户时，会有以下列访问密钥类型,密码期限，以及上次活动. 如果上述列中的任何一个中的值大于 90 天，请停用这些用户的凭证。

您还可以使用凭证报告来监控用户账户和识别 90 天或更长时间没有活动的账户。您可以在以下位置下载证书报告.csvIAM 控制台中的格式。有关凭证报告的更多信息，请参阅获取您的凭证报告Amazon帐户在IAM 用户指南.

确定非活动账户或未使用的凭证后，请使用以下步骤禁用它们。

禁用不活跃账户或未使用的 IAM 证书

通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。
下面访问管理，选择Users.
选择凭证已超过 90 天的用户的姓名。
选择 Security credentials (安全凭证)。选择设置为inact适用于 90 天或更长时间未使用的所有登录证书和访问密钥。

[PCI.IAM.8] IAM 用户的密码策略应具有强配置

合规性严重性 中

资源类型 Amazon帐户

Amazon Config 规则：iam-password-policy

类型：Schedule 定期

参数：None（无）

此控件检查 IAM 用户的账户密码策略是否使用以下最低 PCI DSS 配置。

RequireUppercaseCharacters— 密码中至少需要一个大写字符。（默认值 = true）
RequireLowercaseCharacters— 密码中至少需要一个小写字符。（默认值 = true）
RequireNumbers— 密码中至少需要一个数字。（默认值 = true）
MinimumPasswordLength— 密码最小长度。（默认 = 7 或更长）
PasswordReusePrevention— 允许重复使用之前的密码数量。（默认值 = 4）
MaxPasswordAge — 密码到期前的天数。（默认值 = 90）

修复

要更新您的密码策略以使用推荐的配置，请参阅为 IAM 用户设置账户密码策略在IAM 用户指南.

[PCI.KMS.1] 应启用 KMS 密钥轮换

合规性严重性 中

资源类型 AWS::KMS::Key

Amazon Config 规则：cmk-backing-key-rotation-enabled

类型：Schedule 定期

参数：None（无）

此控件检查每个 KMS 密钥是否已启用密钥轮换。它不检查具有导入密钥材料的 KMS 密钥。

您应该确保密钥包含导入的材料和未存储在中的密钥Amazon KMS旋转。Amazon 托管式密钥每 3 年轮换一次。

修复

启用 KMS 密钥轮换

在 Amazon KMShttps://console.aws.amazon.com/kms 打开控制台。
要更改 Amazon Web Services 区域，请使用页面右上角的 Region selector（区域选择器）。
选择 Customer managed keys (客户托管密钥)。
在 Alias (别名) 列中，选择要更新的密钥的别名。
选择 Key rotation (密钥轮换)。
Select每年自动轮换此 KMS 密钥然后选择Save（保存）.

[PCI.Lambda.1] Lambda 函数应禁止公共访问

合规性严重性 重大

资源类型 AWS::Lambda::Function

Amazon Config 规则：lambda-function-public-access-prohibited

类型：Schedule 触发变更了

参数：None（无）

此控件检查 Lambda 函数基于资源的策略是否禁止公共访问。

它不检查内部委托人（例如 IAM 角色）对 Lambda 函数的访问权限。您应使用基于资源的最低权限 Lambda 策略，确保仅限授权委托人访问 Lambda 函数。请注意，您必须使用AWS:SourceAccount在您的 Lambda 函数策略中传递此控制。

有关使用基于资源的策略的更多信息Amazon Lambda，请参阅阅阅阅阅Amazon Lambda开发人员指南.

注意

以下区域不支持此控制。

亚太地区（大阪）
China (Beijing)
China (Ningxia)

修复

要修复此问题，请更新基于资源的策略，将可公开访问的 Lambda 函数更改为私有 Lambda 函数。

您只能为 Lambda 资源更新基于资源的策略AddPermission和AddLayerVersionPermissionAPI 操作。

您不能为您在 JSON 中的 Lambda 资源编写策略，也不能使用 CLI 或 SDK 使用没有映射到这些操作的参数的条件。

要使用Amazon CLI从中撤销函数使用权限Amazon服务或其他账户

要从 Amazon CLI 中获取 GetPolicy 输出中的语句的 ID，请运行以下命令：
```
aws lambda get-policy --function-name yourfunctionname
```
此命令返回与可公开访问的 Lambda 函数关联的基于 Lambda 资源的策略字符串。
从 get-policy 命令返回的策略语句中，复制 Sid 字段的字符串值。

从 Amazon CLI 中，运行


aws lambda remove-permission --function-name yourfunctionname —statement-id youridvalue

使用 Lambda 控制台限制对 Lambda 函数的访问

打开 Amazon Lambda 控制台，地址：https://console.aws.amazon.com/lambda/。
导航到函数然后选择可公开访问的 Lambda 函数。
在 Designer (设计器) 下面，选择左上角的钥匙图标。它具有工具提示查看权限。
在 Function policy (函数策略) 下面，如果策略允许委托人元素 “*” 或 {“AWS”: “*”} 的操作，则可以公开访问该函数。

考虑添加以下 IAM 条件以限定对您账户的访问权限。
```
"Condition": {
  "StringEquals": {
    "AWS:SourceAccount": "<account_id>"
     }
  }
}
```

有关允许您基于资源向其他账户授予使用权限的 Lambda 资源策略示例，请参阅有关使用基于资源的策略的信息Amazon Lambda在Amazon Lambda开发人员指南.

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

合规性严重性 低

资源类型 AWS::Lambda::Function

Amazon Config 规则：lambda-inside-vpc

类型：Schedule 触发变更了

参数：None（无）

此控件检查 Lambda 函数是否在 VPC 中。你可能会看到 Lambda @Edge 资源的搜索结果失败。

它不会评估 VPC 子网路由配置以确定可公开访问性。

注意

以下区域不支持此控制。

亚太地区（大阪）
China (Beijing)
China (Ningxia)

修复

配置函数以连接到您的账户的 Virtual Private Cloud (VPC) 中的私有子网

打开 Amazon Lambda 控制台，地址：https://console.aws.amazon.com/lambda/。
导航到函数然后选择您的 Lambda 函数。
滚动到 Network (网络)，然后选择一个符合函数连接要求的 VPC。
要在高可用性模式下运行函数，Security Hub 建议您至少选择两个子网。
至少选择一个符合该功能连接要求的安全组。
选择 Save（保存）。

有关更多信息，请参阅中有关配置 Lambda 函数以访问 VPC 中的资源的部分。Amazon Lambda开发人员指南.

[PCI。OpenSearch.1] 亚马逊 OpenSearch 服务域应位于 VPC 中

类别：类别：：保护 > 安全网络配置 > VPC 中的资源

合规性严重性 中

资源类型 AWS::OpenSearch::Domain

Amazon Config 规则：opensearch-in-vpc-only

类型：Schedule 触发变更了

参数：None（无）

此控件检查是否 OpenSearch 域位于 VPC 中。它不会通过评估 VPC 子网路由配置来确定公有访问权限。

您应该确保 OpenSearch 域未连接到公有子网。请参阅基于资源的策略在亚马逊 OpenSearch Service 开发人员指南。

您还应确保根据推荐的最佳实践配置您的 VPC。请参阅VPC 的安全最佳实践在Amazon VPC 用户指南中。

OpenSearch 在 VPC 中部署的域可以通过私有域与 VPC 资源通信Amazon网络，无需遍历公共互联网。此配置通过限制对传输中数据的访问来提高安全状况。VPC 提供多种网络控制来安全访问 OpenSearch 域，包括网络 ACL 和安全组。Security Hub 建议你迁移到公共位置 OpenSearch 域到 VPC 以利用这些控件。

修复

如果您创建一个具有公有终端节点的域，则以后无法将其放置在 VPC 中。您必须创建一个新的域，然后迁移数据。反之亦然。如果在 VPC 中创建一个域，则该域不能具有公有终端节点。您必须创建另一个域或禁用该控制。

请参阅启动您的Amazon OpenSearch VPC 中的服务域在亚马逊 OpenSearch Service 开发人员指南。

[PCI。OpenSearch2] OpenSearch 域应启用静态加密

类别：类别：：保护 > 数据保护 > 静态数据加密

合规性严重性 中

资源类型 AWS::OpenSearch::Domain

Amazon Config 规则：opensearch-encrypted-at-rest

类型：Schedule 触发变更了

参数：None（无）

此控件检查亚马逊是否 OpenSearch 域有 encryption-at-rest 配置已启用。如果未启用静态加密，检查将失败。

为了给您的敏感数据增加一层安全保护 OpenSearch，你应该配置你的 OpenSearch 待静态加密的域。 OpenSearch 域提供静态数据加密。该功能使用 Amazon KMS 存储和管理您的加密密钥。为执行加密，它使用具有 256 位密钥 (AES-256) 的高级加密标准算法。

了解相关更多信息 OpenSearch 静态加密，请参阅Amazon 静态数据加密 OpenSearch 服务在亚马逊 OpenSearch Service 开发人员指南。

修复

默认情况下，域不对数据进行静态加密，并且您无法配置现有的域以使用该功能。要启用该功能，您必须创建另一个域并迁移数据。

有关创建域的信息，请参阅创建和管理Amazon OpenSearch Schice 域在亚马逊 OpenSearch Service 开发人员指南。

请参阅启动您的Amazon OpenSearch VPC 中的服务域在亚马逊 OpenSearch Service 开发人员指南。

[PCI.RDS.1] 亚马逊 RDS 快照应禁止公共访问

合规性严重性 重大

资源类型 AWS::RDS::DBSnapshot

Amazon Config 规则：rds-snapshots-public-prohibited

类型：Schedule 触发变更了

参数：None（无）

此控制检查 Amazon RDS 数据库快照是否禁止其他账户访问。您还应确保快照的访问权限和更改 Amazon RDS 配置的权限仅限于授权委托人。

要了解有关在 Amazon RDS 中共享数据库快照的更多信息，请参阅Amazon RDS 用户指南.

请注意，如果将配置更改为允许公有访问，则 Amazon Config 规则可能在长达 12 小时内无法检测到更改。在 Amazon Config 规则检测到更改之前，即使配置违反了规则，检查也会通过。

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

删除 Amazon RDS 快照的公有访问权限

通过以下网址打开 Amazon RDS 控制台：https://console.aws.amazon.com/rds/。
导航到 Snapshots (快照)，然后选择要修改的公有快照
从 Actions (操作) 列表中，选择 Share Snapshots (共享快照)
从 DB snapshot visibility (数据库快照可见性) 中，选择 Private (私有)
在 DB snapshot visibility (数据库快照可见性) 下面，选择 for all (用于所有)
选择 Save

[PCI.RDS.2] Amazon RDS 数据库实例应禁止公共访问，由以下因素决定 PubliclyAccessible 配置

合规性严重性 重大

资源类型 AWS::RDS::DBInstance

Amazon Config 规则：rds-instance-public-access-check

类型：Schedule 触发变更了

参数：None（无）

该控制通过评估实例配置项中的 publiclyAccessible 字段，以检查是否可以公开访问 RDS 实例。publiclyAccessible 值指示是否可以公开访问数据库实例。如果可以公开访问数据库实例，则它是一个面向 Internet 的实例并具有可公开解析的 DNS 名称，该名称解析为一个公有 IP 地址。如果无法公开访问数据库实例，则它是一个内部实例并具有解析为私有 IP 地址的 DNS 名称。

该控制不会检查 VPC 子网路由设置或安全组规则。您还应该确保 VPC 子网路由不允许公开访问，并且与 RDS 实例关联的安全组入站规则不允许不受限制的访问 (0.0.0.0/0)。您还应该限制用户修改 RDS 实例设置和资源的 IAM 权限，以确保将对 RDS 实例配置的访问限制为仅授权的用户。

有关更多信息，请参阅。从 Internet 隐藏 VPC 中的数据库实例在Amazon RDS 用户指南.

修复

移除对 Amazon RDS 数据库的公共访问权限

通过以下网址打开 Amazon RDS 控制台：https://console.aws.amazon.com/rds/。
导航到 Databases (数据库)，然后选择公有数据库。
选择 Modify（修改）。
Scrocro网络与安全.
对于公开可用性，选择否.
滚动到底部然后选择继续.
下面调度修改，选择立即应用.
选择修改数据库实例。

有关在 VPC 中使用数据库实例的更多信息，请参阅。Amazon RDS 用户指南.

[pci.redshift.1] Amazon Redshift 集群应禁止公共访问

合规性严重性 重大

资源类型 AWS::Redshift::Cluster

Amazon Config 规则：redshift-cluster-public-access-check

类型：Schedule 触发变更了

参数：None（无）

此控件通过评估 Amazon Redshift 集群来检查是否可以公开访问publiclyAccessible群集配置项目中的字段。

注意

亚太地区（大阪）不支持此控件。

修复

禁用 Amazon Redshift 集群的公共访问

打开位于 https://console.aws.amazon.com/redshift/ 的 Amazon Redshift 控制台。
在导航窗格中，选择集群然后选择您的公用 Amazon Redshift 集群。
来自的Cluster下拉菜单中，选择修改集群.
中公开访问，选择否.
选择 Modify（修改）。

有关在 VPC 中创建集群的更多信息，请参阅。Amazon Redshift 管理指南.

[PCI.S3.1] S3 存储桶应禁止公开写入访问

合规性严重性 重大

资源类型： AWS::S3::Bucket

Amazon Config 规则：s3-bucket-public-write-prohibited

Schchule 结构：定期触发，变更触发

参数：None（无）

该控制评估“阻止公开访问”设置、存储桶策略和存储桶访问控制列表 (ACL)，以检查 S3 存储桶是否允许公开写入访问。

它不会检查内部委托人（例如 IAM 角色）是否具有对存储桶的写入权限。您应该确保限制仅授权的委托人可以访问存储桶。

修复

删除 S3 存储桶的公开访问权限

通过以下网址打开 Simple Storage Service（Amazon S3）控制台：https://console.aws.amazon.com/s3/。
选择在结果中指定的存储桶的名称。
选择 Permissions (权限)，然后选择 Public access settings (公有访问权限) 设置。
选择 Edit (编辑)，选择所有四个选项，然后选择 Save (保存)。
如果出现提示，输入 confirm，然后选择 Confirm (确认)。

[PCI.S3.2] S3 存储桶应禁止公开读取访问

合规性严重性 重大

资源类型： AWS::S3::Bucket

Amazon Config 规则：s3-bucket-public-read-prohibited

Schchule 结构：定期触发，变更触发

参数：None（无）

该控制评估“阻止公开访问”设置、存储桶策略和存储桶访问控制列表 (ACL)，以检查 S3 存储桶是否允许公开读取访问。

除非您明确要求 Internet 上的每个人能够写入到 S3 存储桶，否则，应确保 S3 存储桶不能公开写入。

它不会检查内部委托人（例如 IAM 角色）是否具有对存储桶的读取权限。您应该确保限制仅授权的委托人可以访问存储桶。

修复

删除 S3 存储桶的公开访问权限

通过以下网址打开 Simple Storage Service（Amazon S3）控制台：https://console.aws.amazon.com/s3/。
选择在结果中指定的存储桶的名称。
选择 Permissions (权限)，然后选择 Public access settings (公有访问权限) 设置。
选择 Edit (编辑)，选择所有四个选项，然后选择 Save (保存)。
如果出现提示，输入 confirm，然后选择 Confirm (确认)。

[PCI.S3.3] S3 存储桶应启用跨区域复制

合规性严重性 低

资源类型： AWS::S3::Bucket

Amazon Config 规则：s3-bucket-replication-enabled

Schchule 结构：触发变更了

参数：None（无）

该控制检查 S3 存储桶是否启用了跨区域复制。

PCI DSS 不需要使用数据复制或高可用性配置。不过，该检查符合该控制的 Amazon 最佳实践。

除了可用性以外，您还应该考虑其他系统强化设置。

修复

启用 S3 存储桶复制

通过以下网址打开 Simple Storage Service（Amazon S3）控制台：https://console.aws.amazon.com/s3/。
选择未启用跨区域复制的 S3 存储桶。
选择管理，然后选择复制.
选择 Add rule。如果尚未启用版本控制，则会提示您启用该功能。
选择您的源存储桶-整个桶.
选择目标存储桶。如果尚未在您的账户的目标存储桶上启用版本控制，则会提示您启用该功能。
选择一个 IAM 角色。有关设置复制权限的更多信息，请参阅。Amazon Service 用户指南.
输入规则名称，选择Enabled对于状态，然后选择下一页.
选择 Save（保存）。

有关复制的更多信息，请参阅Amazon Service 用户指南.

[PCI.S3.4] S3 存储桶应启用服务器端加密

合规性严重性 中

资源类型： AWS::S3::Bucket

Amazon Config 规则：s3-bucket-server-side-encryption-enabled

Schchule 结构：触发变更了

参数：None（无）

此控制会检查您的 Amazon S3 存储桶是否启用了 Amazon S3 默认加密，或者 S3 存储桶策略是否明确拒绝了未经服务器端加密的放置对象请求。

如果在存储桶上设置默认加密，存储桶中存储的所有新对象将在存储时进行加密，包括明文 PAN 数据。

也可以使用存储桶策略强制对存储桶中存储的所有对象进行服务器端加密。有关服务器端加密的更多信息，请参阅Amazon Service 用户指南.

修复

对 S3 存储桶启用默认加密

通过以下网址打开 Simple Storage Service（Amazon S3）控制台：https://console.aws.amazon.com/s3/。
从列表中选择存储桶。
选择 Properties (属性)。
在 Default encryption (默认加密) 下，请选择 Edit (编辑)。
通过选择以启用服务器端加密启用. 然后，选择其中一个SSE-3要么SE-KMS.
- 要使用由 Amazon S3 托管的密钥进行默认加密，请选择SSE-3. 有关使用 Amazon S3 服务器端加密对数据进行加密的更多信息，请参阅。Amazon Service 用户指南.
- 使用由管理的密钥Amazon KMS对于默认加密，选择SE-KMS. 然后从已创建的 Amazon KMS 主密钥列表中选择一个主密钥。
  
  如果您选择SE-KMS键入的Amazon 资源名称 (ARN)Amazon KMS要使用的密钥。您可以找到您的 ARNAmazon KMS在 IAM 控制台下键入加密密钥. 或者，您可以从下拉列表中选择一个键名。
  
  重要
  如果您将 Amazon KMS 选项用于默认加密配置，则您将受到 Amazon KMS 的 RPS（每秒请求数）限制。有关的更多信息Amazon KMS限制以及如何请求提高限制，请参阅Amazon Key Management Service开发人员指南.
  
  有关创建Amazon KMS钥匙，看看Amazon Key Management Service开发人员指南.
  
  有关使用的更多信息Amazon KMS有关 Amazon S3，请参阅Amazon Service 用户指南.
在启用默认加密时，您可能需要更新存储桶策略。有关从存储桶策略转为默认加密的更多信息，请参阅。Amazon Service 用户指南.
选择 Save（保存）。

有关默认 S3 存储桶加密的更多信息，请参阅。Amazon Service 用户指南.

[PCI.S3.5] S3 存储桶应要求请求才能使用安全套接字层

合规性严重性 中

资源类型： AWS::S3::Bucket

Amazon Config 规则：s3-bucket-ssl-requests-only

Schchule 结构：触发变更了

参数：None（无）

此控制检查 Amazon S3 存储桶是否有要求请求使用安全套接字层 (SSL) 的策略。

S3 存储桶应具有要求所有请求的策略 (Action: S3:*) 在 S3 资源策略中仅接受通过 HTTPS 传输数据，由条件密钥指示aws:SecureTransport.

这不检查 SSL 或 TLS 版本。根据 PCI DSS 的要求，您不应允许使用早期版本的 SSL 或 TLS（SSLv3、TLS1.0）。

修复

要修复此问题，请更新 S3 存储桶的权限策略。

将 S3 存储桶配置为拒绝非安全传输

通过以下网址打开 Simple Storage Service（Amazon S3）控制台：https://console.aws.amazon.com/s3/。
导航到不合规的存储桶，然后选择存储桶名称。
选择 Permissions (权限)，然后选择 Bucket Policy (存储桶策略)。

在下面的政策中添加类似的政策声明。Replace（替换）awsexamplebucket使用要修改的存储桶的名称。


{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::awsexamplebucket",
                "arn:aws:s3:::awsexamplebucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

选择 Save（保存）。

有关更多信息，请参阅知识中心文章要符合 S3 存储桶策略Amazon Config规则 s3-bucket-ssl-requests-only?.

[PCI.S3.6] 应启用 S3 阻止公有访问设置

合规性严重性 中

资源类型：S3Amazon帐户

Amazon Config 规则：s3-account-level-public-access-blocks-periodic

Schchule 结构：定期

参数：

ignorePublicAcls: true
blockPublicPolicy: true
blockPublicAcls: true
restrictPublicBuckets: true

此控件检查是否在账户级别配置了以下公共访问屏蔽设置。

ignorePublicAcls: true,
blockPublicPolicy: true
blockPublicAcls: true
restrictPublicBuckets: true

如果所有公共访问屏蔽设置都设置为，则控制通过true.

如果将任何设置设置为，则控件将失败false，或者如果未配置任何设置。

作为Amazon最佳实践，S3 存储桶应阻止公共访问。除非您明确地要求 Internet 上的所有人都能访问您的 S3 存储桶，否则您应该确保您的 S3 存储桶不可公开访问。

注意

以下区域不支持此控制。

亚太地区（大阪）
Europe (Milan)
Middle East (Bahrain)

修复

启用 Amazon S3 阻止公有访问

通过以下网址打开 Simple Storage Service（Amazon S3）控制台：https://console.aws.amazon.com/s3/。
在导航窗格中，选择阻止公共访问（账户设置）.
选择 Edit（编辑）。然后选择Block（阻止）所有公有访问权限.
选择 Save changes（保存更改）。

有关更多信息，请参阅。使用 Amazon S3 阻止公有访问在Amazon Service 用户指南.

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本电脑实例不应直接访问互联网

合规性严重性 高

资源类型： AWS::SageMaker::NotebookInstance

Amazon Config 规则：sagemaker-notebook-no-direct-internet-access

Schchule 结构：定期

参数：None（无）

此控件检查是否禁用了直接互联网接入 SageMaker 笔记本实例。为此，它会检查是否DirectInternetAccess该笔记本实例的字段已禁用。

如果你配置你的 SageMaker 没有 VPC 的实例，则默认情况下，您的实例上启用了直接互联网访问。您应该使用 VPC 配置您的实例，并将默认设置更改为禁用-通过 VPC 访问 Internet.

要使用笔记本电脑训练或托管模型，您需要访问互联网。要启用互联网访问，请确保您的 VPC 有 NAT 网关并且您的安全组允许出站连接。要了解有关如何将笔记本实例连接到 VPC 中的资源的更多信息，请参阅。将笔记本实例Connect 到 VPC 中的资源在亚马逊 SageMaker 开发人员指南.

您还应确保访问您的 SageMaker 配置仅限于授权用户。限制用户的 IAM 修改权限 SageMaker 设置和资源。

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
China (Beijing)
China (Ningxia)
欧洲（米兰）
Amazon GovCloud （美国东部）

修复

请注意，在创建笔记本实例后，您无法更改互联网访问设置。必须停止、删除和重新创建它。

要配置 SageMaker 拒绝直接访问互联网的笔记本实例

打开 SageMaker 控制台为 https://console.aws.amazon.com/sagemaker/
导航到笔记本实例.
删除启用了直接互联网接入的实例。选择实例，选择操作，然后选择停止。

在实例停止后选择操作，然后选择删除.
选择创建笔记本实例。提供配置详情。
扩展Network部分。然后选择 VPC、子网和安全组。下面直接访问 Internet，选择禁用-通过 VPC 访问 Internet.
选择创建笔记本实例。

有关更多信息，请参阅。将笔记本实例Connect 到 VPC 中的资源在亚马逊 SageMaker 开发人员指南.

[PCI.SSM.1] 安装补丁后，由 Systems Manager 管理的 Amazon EC2 实例的补丁合规状态应为 “合规”

合规性严重性 中

资源类型： AWS::SSM::PatchCompliance和AWS::EC2::Instance

Amazon Config 规则：ec2-managedinstance-patch-compliance-status-check

计划：计划：触发变更了

参数：None（无）

此控件检查 Amazon EC2 Systems Manager 补丁合规性的合规性状态是否为COMPLIANT要么NON_COMPLIANT在实例上安装补丁之后。

它仅检查 Amazon Systems Manager Patch Manager 管理的实例。

它不会检查是否在 PCI DSS 要求 6.2 规定的 30 天限制内应用补丁。

它也不会验证应用的补丁是否归类为安全补丁。

您应使用适当的基准设置创建补丁组，并确保范围内的系统由 Systems Manager 中的这些补丁组管理。有关补丁组的更多信息，请参阅Amazon Systems Manager用户指南.

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

修复不合规的补丁

该规则检查 Amazon EC2 Systems Manager 补丁合规性的合规状态是合规还是不合规。要了解有关补丁合规性数据的信息，请参阅Amazon Systems Manager用户指南.

访问 https://console.aws.amazon.com/systems-manager/，打开 Amazon Systems Manager 控制台。
在导航窗格中，在节点管理，选择运行命令.
选择 Run command (运行命令)。
选择 AWS-RunPatchBaseline 旁边的单选按钮，然后将 Operation (操作) 更改为 Install (安装)。
选择手动选择实例然后选择不合规的实例。
滚动到底部，然后选择 Run (运行)。
在该命令完成后，要监控修补的实例的新合规性状态，请在导航窗格中选择 Compliance (合规性)。

请参阅Amazon Systems Manager用户指南有关以下内容的更多信息

[PCI.SSM.2] 由 Systems Manager 管理的实例的关联合规状态应为COMPLIANT

合规性严重性 低

资源类型： AWS::SSM::AssociationCompliance

Amazon Config 规则：ec2-managedinstance-association-compliance-status-check

Schchule 结构：触发变更了

参数：None（无）

此控件检查状态是否Amazon Systems Manager协会合规性是COMPLIANT要么NON_COMPLIANT在实例上运行关联之后。如果关联合规状态为，则控制通过COMPLIANT.

状态管理器关联是分配给您的托管实例的配置。该配置定义要在实例上保持的状态。例如，关联可以指定必须在实例上安装并运行防病毒软件，或必须关闭特定端口。

创建一个或多个 State Manager 关联之后，控制台、控制台、响应中将立即出现合规性状态信息Amazon CLI命令或相应的Systems Manager API 操作。对于协会而言，配置合规性显示状态合规要么不合规以及分配给关联的严重性级别，例如关键要么中. 要了解有关州经理协会合规性的更多信息，请参阅。关于州经理协会合规性在Amazon Systems Manager用户指南.

您必须为Systems Manager 关联配置范围内的 EC2 实例。您还必须为补丁供应商的安全评级配置补丁基准，并将自动批准日期设置为满足 PCI DSS 3.2.1 要求 6.2。有关如何创建关联的更多指南，请参阅创建关联在Amazon Systems Manager用户指南. 有关在 Systems Manager 中使用补丁的更多信息，请参见Amazon Systems Manager补丁管理器在Amazon Systems Manager用户指南.

注意

以下区域不支持此控制。

非洲（开普敦）
亚太地区（大阪）
欧洲（米兰）

修复

关联失败可能与不同的事物有关，包括目标和 SSM 文档名称。要修复此问题，必须首先确定并调查这种关联。然后，您可以更新关联以更正特定问题。

您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后，Systems Manager 会创建一个新版本。

调查和更新失败的关联

访问 https://console.aws.amazon.com/systems-manager/，打开 Amazon Systems Manager 控制台。
在导航窗格中，在节点管理，选择Fleet Manager.
选择具有的实例 ID协会状态的已失败.
请选择 View details (查看详细信息)。
选择Associations.
记下具有以下条件的关联的名称协会状态的已失败. 这是你需要调查的关联。在下一步骤中，您需要使用关联名称。
在导航窗格中，在节点管理，选择State Manager. 搜索协会名称，然后选择该协会。

确定问题后，编辑失败的关联以更正问题。有关如何编辑关联的信息，请参阅编辑关联.

有关创建和编辑状态管理器关联的更多信息，请参见在 Systems Manager 中使用关联。在Amazon Systems Manager用户指南.

[PCI.SSM.3] EC2 实例应由以下人员管理Amazon Systems Manager

合规性严重性 中

资源类型： AWS::EC2::Instance

Amazon Config 规则：ec2-instance-managed-by-systems-manager

Schchule 结构：触发变更了

参数：None（无）

此控件会检查您账户中的 EC2 实例是否由 Systems Manager 托管。

Amazon Systems Manager是一个Amazon您可以用来查看和控制您的服务Amazon基础设施。为了帮助您维护安全性和合规性，Systems Manager 会扫描您的托管实例。托管实例是一台已配置为与 Systems Manager 一起使用的机器。然后，Systems Manager 会报告其发现的任何违反政策的行为或采取纠正措施。Systems Manager 还帮助您配置和维护托管实例。需要在 Systems Manager 中进行额外配置，才能将补丁部署到托管 EC2 实例。

要了解有关更多信息，请参阅 Amazon Systems Manager 用户指南。

修复

您可以使用 Systems Manager 快速设置来设置Systems Manager 来管理 EC2 实例。

要确定您的实例是否支持 Systems Manager 关联，请参阅。Systems Manager在Amazon Systems Manager用户指南.

要确保 EC2 实例由 Systems Manager 管理

访问 https://console.aws.amazon.com/systems-manager/，打开 Amazon Systems Manager 控制台。
在导航窗格中，选择快速设置.
在配置屏幕上，保留默认选项。
选择 Set up Systems Manager (设置 Systems Manager)。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

所需的 Amazon Config 资源

您可能希望禁用的控件

PCI DSS 控制

[PCI。AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用运行状况检查

相关的 PCI DSS 要求

修复

启用 Elastic Load Balancing 运行状况检查

[PCI。CloudTrail1] CloudTrail 日志应使用静态加密Amazon KMS keys

相关的 PCI DSS 要求

修复

[PCI。CloudTrail2] CloudTrail 应启用

相关的 PCI DSS 要求

修复

在 CloudTrail

[PCI。CloudTrail.3] CloudTrail 应启用日志文件验证

相关的 PCI DSS 要求

修复

启用 CloudTrail 日志文件验证

[PCI。CloudTrail.4] CloudTrail 步道应与 CloudWatch 日志

相关的 PCI DSS 要求

修复

为了确保 CloudTrail 步道与 CloudWatch 日志

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth

注意

相关的 PCI DSS 要求

修复

删除基本身份验证/(GitHub) 个人访问令牌来自 CodeBuild 项目来源

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书

注意

相关的 PCI DSS 要求

修复

删除环境变量

将敏感值存储在 Amazon EC2 Systems Manager 参数存储库中，然后从您的构建规范中检索它们

[PCI.Config.1] 应启用 Amazon Config

注意

相关的 PCI DSS 要求

修复

配置 Amazon Config 设置

[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选器和警报

注意

相关的 PCI DSS 要求

修复

创建 Amazon SNS 主题

创建指标筛选条件和警报

[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开

注意

相关的 PCI DSS 要求

修复

配置Amazon DMS复制实例设置为不可公开访问

[PCI.EC2.1] 亚马逊 EBS 快照不应公开恢复

注意

相关的 PCI DSS 要求

修复

将公开的 Amazon EBS 快照设为私有

[PCI.EC2.2] VPC 默认安全组应禁止入站和出站流量

相关的 PCI DSS 要求

修复

创建新的安全组并将其分配给您的资源

从默认安全组中移除规则

[PCI.EC2.3] 应删除未使用的 EC2 安全组（已停用）

[PCI.EC2.4] 应删除未使用的 EC2 EIP

注意

相关的 PCI DSS 要求

修复

使用控制台释放弹性 IP 地址

[PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22

注意

相关的 PCI DSS 要求

修复

从安全组移除对端口 22 的访问权限

[PCI.EC2.6] 应在所有 VPC 中启用 VPC 流量记录

相关的 PCI DSS 要求

修复

启用 VPC 流日志记录

[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

注意

相关的 PCI DSS 要求

修复

在Application Load Balancer 上将 HTTP 请求重定向到 HTTPS

[PCI.ES.1] Elasticsearch 域应该在 VPC 中

注意

相关的 PCI DSS 要求