区域限制 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

区域限制

一段时间AmazonSecurity Hub 功能仅在部分版本中可用Amazon地区。以下各节具体说明了这些区域限制。

跨区域聚合限制

InAmazon GovCloud (US)、跨区域集成可用于调查结果、查找更新和洞察Amazon GovCloud (US)仅限 。具体而言,您只能汇总调查结果、查找更新和洞察Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)。

在中国区域中,跨区域聚合仅适用于整个中国区域的调查结果、查找更新和见解。具体而言,您只能汇总中国(北京)和中国(宁夏)之间的调查结果、更新和见解。

您不能使用默认情况下禁用的区域作为聚合区域。有关默认情况下禁用的区域的列表,请参阅启用区域中的Amazon一般参考.

并非所有区域都支持集成

某些集成并非在所有区域都可用。如果某个集成在特定区域不可用,则不会在集成页面上 Security Hub 选择该区域时。

在中国(北京)和中国(宁夏)支持集成

中国(北京)和中国(宁夏)区域仅支持以下区域与集成Amazon服务

  • Amazon Firewall Manager

  • 亚马逊 GuardDuty

  • IAM Access Analyzer

  • Systems Manager er

  • Systems Manager OpsCenter

  • Systems Manager

中国(北京)和中国(宁夏)区域仅支持以下区域第三方集成

  • Cloud Custodian

  • FireEye Helix

  • Helecloud

  • IBM QRadar

  • PagerDuty

  • Palo Alto Networks Cortex XSOAR

  • Palo Alto Networks VM-Series

  • Prowler

  • RSA Archer

  • Splunk Enterprise

  • Splunk Phantom

  • ThreatModeler

中支持的集成Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)

这些区域有:Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)区域仅支持以下区域与集成Amazon服务

  • Amazon Detective

  • Amazon Firewall Manager

  • 亚马逊 GuardDuty

  • Amazon Inspector

  • IAM Access Analyzer

这些区域有:Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)区域仅支持以下区域第三方集成

  • Atlassian Jira Service Manager

  • Atlassian OpsGenie

  • Caveonix Cloud

  • Cloud Custodian

  • Cloud Storage Security Antivirus for Amazon S3

  • cloudtamer.io

  • CrowdStrike Falcon

  • FireEye Helix

  • Forcepoint CASB

  • Forcepoint DLP

  • Forcepoint NGFW

  • MicroFocus ArcSight

  • NETSCOUT Cyber Investigator

  • PagerDuty

  • Palo Alto Networks – Prisma Cloud Compute

  • Palo Alto Networks – Prisma Cloud Enterprise

  • Palo Alto Networks – VM-Series

  • Prowler

  • Rackspace Technology – Cloud Native Security

  • Rapid7 InsightConnect

  • RSA Archer

  • SecureCloudDb

  • ServiceNow ITSM

  • Slack

  • ThreatModeler

  • Vectra AI Cognito Detect

并非所有区域都支持控件

以下区域不支持所有 Security Hub 控件。对于每个区域,此列表显示不受支持的控件。

美国东部(俄亥俄州)

美国东部(俄亥俄)不支持以下控件。

美国西部(北加利福尼亚)

美国西部(加利福尼亚北部)不支持以下控件。

美国西部(俄勒冈州)

美国西部(俄勒冈)不支持以下控件。

非洲(开普敦)

非洲(开普敦)不支持以下控件。

CISAmazon基金会基准标准

1.4 — 确保访问密钥每 90 天或更短时间轮换一次

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应是公有的

[PCI.EC2.1] Amazon EBS 快照不应公开还原Amazon EBS 快照

[PCI.EC2.4] 应删除未使用的 EC2 EIP

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.RDS.1] Amazon RDS 快照应禁止公开访问

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例的关联合规性状态应为COMPLIANT

Amazon 基础安全最佳实践标准

[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订

[apiGateWay.1] API Gateway REST 和 WebSocket 应该启用 API 日志记录

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild.1 CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild..2 CodeBuild 项目环境变量不应包含明文凭证

[DMS.1]Amazon Database Migration Service复制实例不应公开

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可进行恢复的可用性

[EC2.3] 挂载的 EBS 卷应进行静态数据加密

[EC2.4] 应在指定时间段后删除已停止的 EC2 实例

[EC2.8] EC2 实例应使用 IMDSv2

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EFS.1] 应配置 Amazon EFS 以使用对文件数据静态加密Amazon KMS

[EFS.2] 亚马逊 EFS 卷应包含在备份计划中

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.8] 具有 HTTPS/SSL 侦听器的传统负载均衡器应使用具有强配置的预定义安全策略

[ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[EMR.1] Amazon EMR 集群主节点不应具有公有 IP 地址

[ES.3] Elasticsearch 域应该对节点之间发送的数据进行加密

[GuardDuty.1 GuardDuty 应该启用了

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] IAM 根用户访问密钥不应存在

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[RDS.1] RDS 快照应为私有快照

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.14] Amazon Aurora 集群应启用回溯功能

[Redshift.3] Amazon Redshift 集群应启用自动快照

[S3.1] 应启用 S3 阻止公有访问设置

[SageMaker.1 SageMaker 笔记本实例不应直接访问互联网

[SSM.2] 由系统管理器管理的所有 EC2 实例都应符合修补要求

[SSM.3] 由 Systems Manager 管理的实例的关联合规性状态应为COMPLIANT

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

亚太地区(香港)

亚太地区(香港)不支持以下控件。

亚太地区(雅加达)

亚太地区(雅加达)不支持以下控件。

CISAmazon基金会基准标准

1.12-确保不存在根用户访问密钥

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

2.9-确保在所有 VPC 中启用 VPC 流日志记录

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

4.3 — 确保每个 VPC 的默认安全组限制所有流量

支付卡行业数据安全标准 (PCI DSS)

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应是公有的

[PCI.EC2.1] Amazon EBS 快照不应公开还原Amazon EBS 快照

[PCI.EC2.2] VPC 默认安全组应禁止入站和出站流量

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[PCI.ES.1] Elasticsearch 域应位于 VPC 中

[PCI.ES.2] ElasticSearch 域应启用静态加密

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI。OpenSearch.1] 亚马逊 OpenSearch 服务域应位于 VPC 中

[PCI。OpenSearch2] OpenSearch 域应启用静态加密

[PCI.RDS.1] Amazon RDS 快照应禁止公开访问

[PCI.Redshift.1] Amazon Redshift 集群应禁止公开访问

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例的关联合规性状态应为COMPLIANT

[PCI.SSM.3] EC2 实例应由管理Amazon Systems Manager

Amazon 基础安全最佳实践标准

[apiGateWay.1] API Gateway REST 和 WebSocket 应该启用 API 日志记录

[ApiGateWay.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

[apiGateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用了跟踪的

[ApiGateWay.4] API Gateway 应与Amazon WAFWeb ACL

[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区

[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)

[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跃点限制不应大于1

[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址

[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多种实例类型

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild.1 CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild..2 CodeBuild 项目环境变量不应包含明文凭证

[CodeBuild..4 CodeBuild 项目环境应该有日志记录配置

[CodeBuild....5 CodeBuild 项目环境不应启用特权模式

[DMS.1]Amazon Database Migration Service复制实例不应公开

[dynamoDB.2] DynamoDB 表应该有 point-in-time 恢复启用了

[DynamoDB.3] 应静态加密 DynamoDB Accelerator (DAX) 集群

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可进行恢复的可用性

[EC2.2] VPC 默认安全组不应允许入站和出站流量

[EC2.3] 挂载的 EBS 卷应进行静态数据加密

[EC2.4] 应在指定时间段后删除已停止的 EC2 实例

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.7] 应启用 EBS 默认加密

[EC2.8] EC2 实例应使用 IMDSv2

[EC2.9] EC2 实例不应有公有 IP 地址

[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 终端节点

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[EC2.18] 安全组应只允许授权端口不受限制的传入流量

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.21] 网络 ACL 不应允许从 0.0/0 到端口 22 或端口 3389 的传入流量

[EC2.22] 应删除未使用的 EC2 安全组

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EC2.27] 运行的 EC2 实例不应使用密钥对(已停用)

[ECR.1] ECR 私有存储库应配置图像扫描

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应作为非特权运行

[ECS.5] ECS 容器应限制为对根文件系统的只读访问权限

[ECS.8] 密钥不应作为容器环境变量传递

[ECS.10] Fargate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应启用容器见解

[EFS.1] 应配置 Amazon EFS 以使用对文件数据静态加密Amazon KMS

[EFS.2] 亚马逊 EFS 卷应包含在备份计划中

[EFS.3] EFS 接入点应强制使用根目录

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.3] Classic Load Balancer 侦听器应配置为 HTTPS 或 TLS 终止

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.6] 应启用Application Load Balancer 删除保护

[ELB.8] 具有 HTTPS/SSL 侦听器的传统负载均衡器应使用具有强配置的预定义安全策略

[ELB.9] 传统负载均衡器应启用跨区域负载均衡

[ELB.10] 传统负载均衡器应跨越多个可用区

[ELB.12] 应用程序负载均衡器应配置防御性或最严格的不同步缓解模式

[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

[ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[EMR.1] Amazon EMR 集群主节点不应具有公有 IP 地址

[ES.1] Elasticsearch 域应启用静态加密

[ES.2] Elastic Search 域应位于 VPC 中

[ES.3] Elasticsearch 域应该对节点之间发送的数据进行加密

[GuardDuty.1 GuardDuty 应该启用了

[IAM.4] IAM 根用户访问密钥不应存在

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密和重新加密操作

[KMS.2] IAM 委托人不应具有允许对所有 KMS 密钥执行解密和重新加密操作的 IAM 内联策略

[Lambda.5] VPC Lambda 函数应在多个可用区中运行

[Network Firewall .3] Network Firewall 策略应至少关联一个规则组

[NetworkFirewall.4] 对于已满的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.1] RDS 快照应为私有快照

[RDS.4] RDS 集群快照和数据库快照应静态加密

[RDS.6] 应为 RDS 数据库实例和集群配置增强型监控

[RDS.7] RDS 集群应启用删除保护

[RDS.8] RDS 数据库实例应启用删除保护

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.11] 亚马逊 RDS 实例应启用自动备份

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

[Redshift.1] Amazon Redshift 集群应禁止公开访问

[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密

[Redshift.3] Amazon Redshift 集群应启用自动快照

[Redshift.7] Amazon Redshift 集群应使用增强的 VPC 路由

[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

[Redshift.9] Redshift 集群不应使用默认的数据库名称

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[S3.10] 已启用版本控制的 S3 存储桶应配置生命周期策略

[S3.11] S3 存储桶应启用事件通知

[S3.12] S3 访问控制列表 (ACL) 不应用于管理用户对存储桶的访问权限

[S3.13] S3 存储桶应配置生命周期策略

[SageMaker.1 SageMaker 笔记本实例不应直接访问互联网

[SecretsManager.1] Secrets Manager 密钥应启用自动轮换

[SecretsManager.2] 配置为自动轮换的 Secrets Manager 密钥应成功轮换

[SecretsManager.3] 移除未使用的Secrets Manager 密钥

[SNS.1] SNS 主题应使用Amazon KMS

[SNS.2] 应为发送到主题的通知消息启用传递状态日志记录

[SQS.1] Amazon SQS 队列应进行静态加密

[SSM.1] EC2 实例应由Amazon Systems Manager

[SSM.2] 由系统管理器管理的所有 EC2 实例都应符合修补要求

[SSM.3] 由 Systems Manager 管理的实例的关联合规性状态应为COMPLIANT

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.2] WAF 区域规则应至少具有一个条件

[WAF.3] WAF 区域规则组应至少有一个规则

[WAF.4] WAF 经典区域 Web ACL 应至少包含一个规则或规则组

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

亚太地区(孟买)

亚太地区(孟买)不支持以下控件。

亚太地区(大阪)

亚太地区(大阪)不支持以下控件。

CISAmazon基金会基准标准

1.12-确保不存在根用户访问密钥

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应是公有的

[PCI.EC2.1] Amazon EBS 快照不应公开还原Amazon EBS 快照

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[PCI.ES.1] Elasticsearch 域应位于 VPC 中

[PCI.ES.2] ElasticSearch 域应启用静态加密

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.RDS.1] Amazon RDS 快照应禁止公开访问

[PCI.Redshift.1] Amazon Redshift 集群应禁止公开访问

[PCI.S3.6] 应启用 S3 阻止公有访问设置

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例的关联合规性状态应为COMPLIANT

Amazon 基础安全最佳实践标准

[ApiGateWay.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

[apiGateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用了跟踪的

[ApiGateWay.4] API Gateway 应与Amazon WAFWeb ACL

[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild..4 CodeBuild 项目环境应该有日志记录配置

[CodeBuild....5 CodeBuild 项目环境不应启用特权模式

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[EC2.18] 安全组应只允许授权端口不受限制的传入流量

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.22] 应删除未使用的 EC2 安全组

[EC2.23] EC2 中转网关不应自动接受 VPC 连接请求

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ECS.2] Amazon ECS 服务不应自动分配公有 IP 地址

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应作为非特权运行

[ECS.8] 密钥不应作为容器环境变量传递

[ECS.10] Fargate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应启用容器见解

[EFS.4] EFS 接入点应强制使用用户身份

[EKS.2] EKS 集群应在受支持的 Kubernetes 版本上运行

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.8] 具有 HTTPS/SSL 侦听器的传统负载均衡器应使用具有强配置的预定义安全策略

[ELB.9] 传统负载均衡器应启用跨区域负载均衡

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[KM.3]Amazon KMS密钥不应被无意中删除

[Lambda.5] VPC Lambda 函数应在多个可用区中运行

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[Redshift.3] Amazon Redshift 集群应启用自动快照

[Redshift.7] Amazon Redshift 集群应使用增强的 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SecretsManager.3] 移除未使用的Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.3] WAF 区域规则组应至少有一个规则

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

亚太地区(首尔)

亚太地区(首尔)不支持以下控件。

亚太地区(新加坡)

亚太地区(新加坡)不支持以下控件。

亚太地区(悉尼)

亚太地区(悉尼)不支持以下控件。

亚太地区(东京)

亚太地区(东京)不支持以下控件。

加拿大(中部)

加拿大(中部)不支持以下控件。

中国(北京)

中国(北京)不支持以下控件。

CISAmazon基金会基准标准

1.13-确保为 root 用户启用 MFA

1.14 — 确保为 root 用户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

Amazon 基础安全最佳实践标准

[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订

[ApiGateWay.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

[apiGateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用了跟踪的

[ApiGateWay.4] API Gateway 应与Amazon WAFWeb ACL

[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区

[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)

[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跃点限制不应大于1

[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多种实例类型

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild..4 CodeBuild 项目环境应该有日志记录配置

[CodeBuild....5 CodeBuild 项目环境不应启用特权模式

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.21] 网络 ACL 不应允许从 0.0/0 到端口 22 或端口 3389 的传入流量

[EC2.22] 应删除未使用的 EC2 安全组

[EC2.23] EC2 中转网关不应自动接受 VPC 连接请求

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EC2.27] 运行的 EC2 实例不应使用密钥对(已停用)

[ECR.1] ECR 私有存储库应配置图像扫描

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应作为非特权运行

[ECS.5] ECS 容器应限制为对根文件系统的只读访问权限

[ECS.8] 密钥不应作为容器环境变量传递

[ECS.10] Fargate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应启用容器见解

[EFS.3] EFS 接入点应强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

[EKS.2] EKS 集群应在受支持的 Kubernetes 版本上运行

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.10] 传统负载均衡器应跨越多个可用区

[ELB.12] 应用程序负载均衡器应配置防御性或最严格的不同步缓解模式

[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

[ELB.14] 传统负载均衡器应配置防御性或最严格的不同步缓解模式

[ES.3] Elasticsearch 域应该对节点之间发送的数据进行加密

[ES.4] 登录到 Elasticsearch 域时出错 CloudWatch 应该启用日志日志的第一个版本

[GuardDuty.1 GuardDuty 应该启用了

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[Kinesis.1] Kinesis Data Streams 应处于静态加密状态

[Lambda.1] Lambda 函数策略应禁止公开访问

[Lambda.2] Lambda 函数应使用支持的运行时

[Lambda.5] VPC Lambda 函数应在多个可用区中运行

[Network Firewall .3] Network Firewall 策略应至少关联一个规则组

[NetworkFirewall.4] 对于已满的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.7] RDS 集群应启用删除保护

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

[Redshift.7] Amazon Redshift 集群应使用增强的 VPC 路由

[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

[Redshift.9] Redshift 集群不应使用默认的数据库名称

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[S3.11] S3 存储桶应启用事件通知

[S3.12] S3 访问控制列表 (ACL) 不应用于管理用户对存储桶的访问权限

[S3.13] S3 存储桶应配置生命周期策略

[SageMaker.1 SageMaker 笔记本实例不应直接访问互联网

[SecretsManager.3] 移除未使用的Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SNS.2] 应为发送到主题的通知消息启用传递状态日志记录

[SSM.4] SSM 文档不应公开

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.2] WAF 区域规则应至少具有一个条件

[WAF.3] WAF 区域规则组应至少有一个规则

[WAF.4] WAF 经典区域 Web ACL 应至少包含一个规则或规则组

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

中国(宁夏)

中国(宁夏)不支持以下控件。

CISAmazon基金会基准标准

1.13-确保为 root 用户启用 MFA

1.14 — 确保为 root 用户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

Amazon 基础安全最佳实践标准

[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订

[ApiGateWay.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

[apiGateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用了跟踪的

[ApiGateWay.4] API Gateway 应与Amazon WAFWeb ACL

[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区

[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)

[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跃点限制不应大于1

[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多种实例类型

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild..4 CodeBuild 项目环境应该有日志记录配置

[CodeBuild....5 CodeBuild 项目环境不应启用特权模式

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.21] 网络 ACL 不应允许从 0.0/0 到端口 22 或端口 3389 的传入流量

[EC2.22] 应删除未使用的 EC2 安全组

[EC2.23] EC2 中转网关不应自动接受 VPC 连接请求

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EC2.27] 运行的 EC2 实例不应使用密钥对(已停用)

[ECR.1] ECR 私有存储库应配置图像扫描

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应作为非特权运行

[ECS.5] ECS 容器应限制为对根文件系统的只读访问权限

[ECS.8] 密钥不应作为容器环境变量传递

[ECS.10] Fargate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应启用容器见解

[EFS.3] EFS 接入点应强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

[EKS.2] EKS 集群应在受支持的 Kubernetes 版本上运行

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.10] 传统负载均衡器应跨越多个可用区

[ELB.12] 应用程序负载均衡器应配置防御性或最严格的不同步缓解模式

[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

[ELB.14] 传统负载均衡器应配置防御性或最严格的不同步缓解模式

[ES.3] Elasticsearch 域应该对节点之间发送的数据进行加密

[ES.4] 登录到 Elasticsearch 域时出错 CloudWatch 应该启用日志日志的第一个版本

[GuardDuty.1 GuardDuty 应该启用了

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[Kinesis.1] Kinesis Data Streams 应处于静态加密状态

[Lambda.1] Lambda 函数策略应禁止公开访问

[Lambda.2] Lambda 函数应使用支持的运行时

[Lambda.5] VPC Lambda 函数应在多个可用区中运行

[Network Firewall .3] Network Firewall 策略应至少关联一个规则组

[NetworkFirewall.4] 对于已满的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.7] RDS 集群应启用删除保护

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

[Redshift.3] Amazon Redshift 集群应启用自动快照

[Redshift.7] Amazon Redshift 集群应使用增强的 VPC 路由

[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

[Redshift.9] Redshift 集群不应使用默认的数据库名称

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[S3.11] S3 存储桶应启用事件通知

[S3.12] S3 访问控制列表 (ACL) 不应用于管理用户对存储桶的访问权限

[S3.13] S3 存储桶应配置生命周期策略

[SageMaker.1 SageMaker 笔记本实例不应直接访问互联网

[SecretsManager.3] 移除未使用的Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SNS.2] 应为发送到主题的通知消息启用传递状态日志记录

[SSM.4] SSM 文档不应公开

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.2] WAF 区域规则应至少具有一个条件

[WAF.3] WAF 区域规则组应至少有一个规则

[WAF.4] WAF 经典区域 Web ACL 应至少包含一个规则或规则组

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

欧洲(法兰克福)

欧洲(法兰克福)不支持以下控件。

欧洲(爱尔兰)

欧洲(爱尔兰)不支持以下控件。

欧洲(伦敦)

欧洲(伦敦)不支持以下控件。

欧洲(米兰)

欧洲(米兰)不支持以下控件。

CISAmazon基金会基准标准

1.4 — 确保访问密钥每 90 天或更短时间轮换一次

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应是公有的

[PCI.EC2.1] Amazon EBS 快照不应公开还原Amazon EBS 快照

[PCI.EC2.4] 应删除未使用的 EC2 EIP

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.RDS.1] Amazon RDS 快照应禁止公开访问

[PCI.S3.6] 应启用 S3 阻止公有访问设置

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例的关联合规性状态应为COMPLIANT

Amazon 基础安全最佳实践标准

[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订

[apiGateWay.1] API Gateway REST 和 WebSocket 应该启用 API 日志记录

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild.1 CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild..2 CodeBuild 项目环境变量不应包含明文凭证

[DMS.1]Amazon Database Migration Service复制实例不应公开

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可进行恢复的可用性

[EC2.3] 挂载的 EBS 卷应进行静态数据加密

[EC2.4] 应在指定时间段后删除已停止的 EC2 实例

[EC2.8] EC2 实例应使用 IMDSv2

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EFS.1] 应配置 Amazon EFS 以使用对文件数据静态加密Amazon KMS

[EFS.2] 亚马逊 EFS 卷应包含在备份计划中

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.8] 具有 HTTPS/SSL 侦听器的传统负载均衡器应使用具有强配置的预定义安全策略

[ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[EMR.1] Amazon EMR 集群主节点不应具有公有 IP 地址

[ES.3] Elasticsearch 域应该对节点之间发送的数据进行加密

[GuardDuty.1 GuardDuty 应该启用了

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[KM.3]Amazon KMS密钥不应被无意中删除

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.1] RDS 快照应为私有快照

[RDS.9] 应启用数据库日志记录

[RDS.14] Amazon Aurora 集群应启用回溯功能

[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密

[Redshift.3] Amazon Redshift 集群应启用自动快照

[S3.1] 应启用 S3 阻止公有访问设置

[SageMaker.1 SageMaker 笔记本实例不应直接访问互联网

[SSM.2] 由系统管理器管理的所有 EC2 实例都应符合修补要求

[SSM.3] 由 Systems Manager 管理的实例的关联合规性状态应为COMPLIANT

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

欧洲(巴黎)

欧洲(巴黎)不支持以下控件。

欧洲(斯德哥尔摩)

欧洲(斯德哥尔摩)不支持以下控件。

中东(巴林)

中东(巴林)不支持以下控件。

支付卡行业数据安全标准 (PCI DSS)

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.S3.6] 应启用 S3 阻止公有访问设置

Amazon 基础安全最佳实践标准

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.23] EC2 中转网关不应自动接受 VPC 连接请求

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[GuardDuty.1 GuardDuty 应该启用了

[RDS.7] RDS 集群应启用删除保护

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[Redshift.6] Amazon Redshift 应该启用到主要版本的自动升级

[S3.1] 应启用 S3 阻止公有访问设置

[SSM.2] 由系统管理器管理的所有 EC2 实例都应符合修补要求

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

南美洲(圣保罗)

南美洲(圣保罗)不支持以下控件。

Amazon GovCloud (美国东部)

中不支持以下控件Amazon GovCloud (美国东部)。

CISAmazon基金会基准标准

1.13-确保为 root 用户启用 MFA

1.14 — 确保为 root 用户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文凭证

[PCI。GuardDuty1] GuardDuty 应该启用

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本实例不应直接访问互联网

Amazon 基础安全最佳实践标准

[ApiGateWay.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

[apiGateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用了跟踪的

[ApiGateWay.4] API Gateway 应与Amazon WAFWeb ACL

[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区

[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)

[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跃点限制不应大于1

[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址

[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多种实例类型

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild.1 CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild..2 CodeBuild 项目环境变量不应包含明文凭证

[CodeBuild..4 CodeBuild 项目环境应该有日志记录配置

[CodeBuild....5 CodeBuild 项目环境不应启用特权模式

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.21] 网络 ACL 不应允许从 0.0/0 到端口 22 或端口 3389 的传入流量

[EC2.22] 应删除未使用的 EC2 安全组

[EC2.23] EC2 中转网关不应自动接受 VPC 连接请求

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EC2.27] 运行的 EC2 实例不应使用密钥对(已停用)

[ECR.1] ECR 私有存储库应配置图像扫描

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ECS.2] Amazon ECS 服务不应自动分配公有 IP 地址

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应作为非特权运行

[ECS.8] 密钥不应作为容器环境变量传递

[ECS.10] Fargate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应启用容器见解

[EFS.2] 亚马逊 EFS 卷应包含在备份计划中

[EFS.3] EFS 接入点应强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

[EKS.2] EKS 集群应在受支持的 Kubernetes 版本上运行

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 带有 HTTPS/SSL 侦听器的传统负载均衡器应使用由Amazon Certificate Manager

[ELB.8] 具有 HTTPS/SSL 侦听器的传统负载均衡器应使用具有强配置的预定义安全策略

[ELB.10] 传统负载均衡器应跨越多个可用区

[ELB.12] 应用程序负载均衡器应配置防御性或最严格的不同步缓解模式

[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

[ELB.14] 传统负载均衡器应配置防御性或最严格的不同步缓解模式

[ES.4] 登录到 Elasticsearch 域时出错 CloudWatch 应该启用日志日志的第一个版本

[GuardDuty.1 GuardDuty 应该启用了

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[Kinesis.1] Kinesis Data Streams 应处于静态加密状态

[Lambda.5] VPC Lambda 函数应在多个可用区中运行

[Network Firewall .3] Network Firewall 策略应至少关联一个规则组

[NetworkFirewall.4] 对于已满的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

[Redshift.7] Amazon Redshift 集群应使用增强的 VPC 路由

[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

[Redshift.9] Redshift 集群不应使用默认的数据库名称

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[S3.11] S3 存储桶应启用事件通知

[S3.12] S3 访问控制列表 (ACL) 不应用于管理用户对存储桶的访问权限

[S3.13] S3 存储桶应配置生命周期策略

[SecretsManager.3] 移除未使用的Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SNS.2] 应为发送到主题的通知消息启用传递状态日志记录

[SSM.4] SSM 文档不应公开

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.2] WAF 区域规则应至少具有一个条件

[WAF.3] WAF 区域规则组应至少有一个规则

[WAF.4] WAF 经典区域 Web ACL 应至少包含一个规则或规则组

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组

Amazon GovCloud (美国西部)

中不支持以下控件Amazon GovCloud (美国西部)。

CISAmazon基金会基准标准

1.13-确保为 root 用户启用 MFA

1.14 — 确保为 root 用户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

Amazon 基础安全最佳实践标准

[ApiGateWay.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

[apiGateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用了跟踪的

[ApiGateWay.4] API Gateway 应与Amazon WAFWeb ACL

[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区

[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)

[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跃点限制不应大于1

[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址

[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多种实例类型

[CloudFormation.1 CloudFormation 堆栈应与Simple Notification Service (SNS) 集成

[CloudFront.1 CloudFront 发行版应配置默认根对象

[CloudFront..2 CloudFront 分配应该启用源访问身份

[CloudFront...3 CloudFront 发行版应要求在传输过程中要求加密

[CloudFront..4 CloudFront 分发应该配置源故障转移

[CloudFront....5 CloudFront 分发应该启用日志记录

[CloudFront.6 CloudFront 发行应该具有Amazon WAF已启用

[CloudFront.7 CloudFront 分发应使用自定义 SL/TLS 证书

[CloudFront.8 CloudFront 分配应使用 SNI 处理 HTTPS 请求

[CloudFront.9 CloudFront 分发应该加密到自定义来源的流量

[CloudFront.10 CloudFront 分发不应在节点和自定义源之间使用已弃用的 SSL 协议

[CodeBuild.1 CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild..2 CodeBuild 项目环境变量不应包含明文凭证

[CodeBuild..4 CodeBuild 项目环境应该有日志记录配置

[CodeBuild....5 CodeBuild 项目环境不应启用特权模式

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[EC2.20] 两个 VPN 隧道用于AmazonSite-to-Site VPN 连接应启用

[EC2.21] 网络 ACL 不应允许从 0.0/0 到端口 22 或端口 3389 的传入流量

[EC2.22] 应删除未使用的 EC2 安全组

[EC2.23] EC2 中转网关不应自动接受 VPC 连接请求

[EC2.24] 不应使用半虚拟化 EC2 实例类型

[EC2.27] 运行的 EC2 实例不应使用密钥对(已停用)

[ECR.1] ECR 私有存储库应配置图像扫描

[ECR.2] ECR 私有仓库应配置标签不可变性

[ECR.3] ECR 存储库应至少配置一个生命周期策略

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ECS.2] Amazon ECS 服务不应自动分配公有 IP 地址

[ECS.3] ECS 任务定义不应共享主机的进程命名空间

[ECS.4] ECS 容器应作为非特权运行

[ECS.8] 密钥不应作为容器环境变量传递

[ECS.10] Fargate 服务应在最新的 Fargate 平台版本上运行

[ECS.12] ECS 集群应启用容器见解

[EFS.2] 亚马逊 EFS 卷应包含在备份计划中

[EFS.3] EFS 接入点应强制使用根目录

[EFS.4] EFS 接入点应强制使用用户身份

[EKS.2] EKS 集群应在受支持的 Kubernetes 版本上运行

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.10] 传统负载均衡器应跨越多个可用区

[ELB.12] 应用程序负载均衡器应配置防御性或最严格的不同步缓解模式

[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

[ELB.14] 传统负载均衡器应配置防御性或最严格的不同步缓解模式

[ES.4] 登录到 Elasticsearch 域时出错 CloudWatch 应该启用日志日志的第一个版本

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

[Kinesis.1] Kinesis Data Streams 应处于静态加密状态

[Lambda.5] VPC Lambda 函数应在多个可用区中运行

[Network Firewall .3] Network Firewall 策略应至少关联一个规则组

[NetworkFirewall.4] 对于已满的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

[OpenSearch.1 OpenSearch 域应启用静态加密

[OpenSearch..2 OpenSearch 域应位于 VPC 中

[OpenSearch...3 OpenSearch 域应该加密节点之间发送的数据

[OpenSearch..4 OpenSearch 登录到的域错误 CloudWatch 应该启用日志日志的第一个版本

[OpenSearch....5 OpenSearch 域应该启用审核日志记录

[OpenSearch.6 OpenSearch 域应具有至少三个数据节点

[OpenSearch.7 OpenSearch 域应已启用精细访问控制

[OpenSearch.8] 连接到 OpenSearch 域应使用 TLS 1.2 加密

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 集群应启用回溯功能

[RDS.15] 应针对多个可用区配置 RDS 数据库集群

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

[Redshift.7] Amazon Redshift 集群应使用增强的 VPC 路由

[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

[Redshift.9] Redshift 集群不应使用默认的数据库名称

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[S3.11] S3 存储桶应启用事件通知

[S3.12] S3 访问控制列表 (ACL) 不应用于管理用户对存储桶的访问权限

[S3.13] S3 存储桶应配置生命周期策略

[SecretsManager.3] 移除未使用的Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SNS.2] 应为发送到主题的通知消息启用传递状态日志记录

[SSM.4] SSM 文档不应公开

[WAF.1]Amazon WAF应启用经典全局 Web ACL 日志记录

[WAF.2] WAF 区域规则应至少具有一个条件

[WAF.3] WAF 区域规则组应至少有一个规则

[WAF.4] WAF 经典区域 Web ACL 应至少包含一个规则或规则组

[WAF.6] WAF 全局规则应至少具有一个条件

[WAF.7] WAF 全局规则组应至少有一个规则

[WAF.8] WAF 全局 Web ACL 应至少包含一个规则或规则组