支持的区域 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

支持的区域

要查看AmazonSecurity Hub 在中提供,请参阅Security Hub 服务终端节点

Amazon Organizations并非所有区域都支持集成

中国(北京)和中国(宁夏)区域不支持将 Security Hub 与 Organizations 集成。

并非所有区域都支持集成

某些集成并非在所有区域都可用。如果不支持某个集成,则不会在 Integrations (集成) 页面上列出该集成。

中国(北京)和中国(宁夏)支持的集成

中国(北京)和中国(宁夏)区域仅支持以下与集成Amazon服务

  • Amazon GuardDuty

  • IAM Access Analyzer

  • Systems Manager Patch Manager

中国(北京)和中国(宁夏)区域仅支持以下第三方集成

  • 云托管

  • FireEye Helix

  • 赫勒云端

  • IBM QRadar adar

  • PagerDuty

  • Palo Alto Networks 皮层 XSOAR

  • Palo Alto Networks VM 系列

  • 散步者

  • RSA 射手

  • Splunk Enterprise

  • Splunk Phantom

  • 威胁建模器

中支持的集成AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)

这些区域有:AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)区域仅支持以下与集成Amazon服务

  • Amazon Detective

  • Amazon Firewall Manager

  • Amazon GuardDuty

  • Amazon Inspector

  • IAM Access Analyzer

这些区域有:AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)区域仅支持以下第三方集成

  • 亚特拉西安吉拉服务经理

  • Atlassian OpsGenie

  • 云托管

  • Amazon S3 的云存储安全防病毒软件

  • 云达梅尔 .io

  • CrowdStrike Falcon

  • FireEye Helix

  • Forcepoint CASB

  • Forcepoint DLP

  • Forcepoint NGFW

  • 微焦点视频

  • 网络调查员

  • PagerDuty

  • 帕洛阿尔托网络 — Prisma 云计算

  • 帕洛阿尔托网络 — Prisma 云企业

  • 帕洛阿尔托网络 — 虚拟机系列

  • 散步者

  • 机架空间技术 — 云原生安全性

  • Rapid7 InsightConnect

  • RSA 射手

  • 安全云端 B

  • ServiceNow ITSM

  • Slack

  • 威胁建模器

  • Vectra AI Cognito 检测

并非所有区域都支持的控件

以下区域不支持所有 Security Hub 控件。对于每个区域,该列表提供了不受支持的控件。

美国东部 (俄亥俄)

美国东部(俄亥俄)不支持以下控件。

美国西部 (加利福尼亚北部)

美国西部(加利福尼亚北部)不支持以下控件。

美国西部 (俄勒冈)

美国西部(俄勒冈)不支持以下控件。

非洲(开普敦)

非洲(开普敦)不支持以下控件。

CISAmazon基准标准

1.4 — 确保访问密钥每 90 天或更短时间轮换一次

1.12 — 确保不存在根账户访问密钥

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] 代码构建 GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] 代码构建项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应为公共实例

[PCI.EC2.1] 不应公开还原亚马逊 EBS 快照

[PCI.EC2.3] 应删除未使用的 EC2 安全组

[PCI.EC2.4] 应删除未使用的 EC2 EIP

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[PCI.GuardDuty.1] 应启用警卫

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.RDS.1] RDS 快照应禁止公开访问

[PCI.SageMaker.1] Amazon SageMaker 笔记本实例不应具有直接互联网访问权限

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为符合性

[PCI.SSM.2] 由 Systems Manager 管理的实例的关联合规性状态应为COMPLIANT

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APIGateway .1] 应启用 API Gateway REST 和 WebSocket API 日志记录

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DMS.1]Amazon Database Migration Service复制实例不应为公共实例

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可进行恢复的能力

[EC2.3] 挂载的 EBS 卷应进行静态加密

[EC2.4] 应在指定的时间段之后删除已停止的 EC2 实例

[EC2.8] EC2 实例应使用 IMDSv2

[EFS.1] Amazon EFS 应配置为使用对文件数据静态配置Amazon KMS

[EFS.2] 亚马逊 EFS 卷应在备份计划中

[ELB.4] 应将应用程序负载平衡器配置为删除 HTTP 标头

[ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[EMR.1] 亚马逊 EMR 集群主节点不应具有公有 IP 地址

[ES.3] Amazon Elasticsearch Service 域应加密节点之间发送的数据

[GuardDuty.1] 应启用 GuardDuty

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] IAM 根用户访问密钥不应存在

[RDS.1] RDS 快照应为私有快照

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[Redshift 3] Amazon Redshift 集群应启用自动快照

[S3.1] 应启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[SSM.2] 由 Systems Manager 管理的所有 EC2 实例都应符合修补要求

[SSM.3] 由 Systems Manager 管理的实例的关联合规性状态应为符合

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录

亚太地区(香港)

亚太地区(香港)不支持以下控件。

亚太地区 (孟买)

亚太地区(孟买)不支持以下控件。

亚太地区(大阪)

亚太地区(大阪)不支持以下控件。

CISAmazon基准标准

1.12 — 确保不存在根账户访问密钥

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] 代码构建 GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] 代码构建项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应为公共实例

[PCI.EC2.1] 不应公开还原亚马逊 EBS 快照

[PCI.EC2.3] 应删除未使用的 EC2 安全组

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[PCI.ES.1] Amazon Elasticsearch Service 域应位于 VPC 中

[PCI.ES.2] Amazon Elasticsearch Service 域应启用静态加密

[PCI.GuardDuty.1] 应启用警卫

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.RDS.1] RDS 快照应禁止公开访问

[PCI.Redshift.1] Amazon Redshift 集群应禁止公开访问

[PCI.S3.6] 应启用 S3 阻止公开访问设置

[PCI.SageMaker.1] Amazon SageMaker 笔记本实例不应具有直接互联网访问权限

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为符合性

[PCI.SSM.2] 由 Systems Manager 管理的实例的关联合规性状态应为COMPLIANT

Amazon 基础安全最佳实践标准

[APIGateway .2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[网关 3] API Gateway REST API 阶段应该具有Amazon X-Ray跟踪已启用

[API Gateway 4] API 网关应与Amazon WAFWeb ACL

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[EC2.18] 安全组只应允许授权端口不受限制的传入流量

[ECS.1] 亚马逊云服务器任务定义应具有安全联网模式和用户定义

[ElasticBeanstalk.1] Elastic Beanstalk 环境应该启用增强的运行状况报告

[弹性蜂窝 2] 应启用 Elastic Beanstalk 管理平台更新

[ELB.4] 应将应用程序负载平衡器配置为删除 HTTP 标头

[IAM.21] 您创建的 IAM 客户管理策略不应允许对服务执行通配符操作

[Lambda.4] Lambda 函数应配置死信队列

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 群集配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[RDS.15] RDS 数据库群集应配置为多个可用区

[Redshift 3] Amazon Redshift 集群应启用自动快照

[Redshift .7] Amazon Redshift 集群应使用增强的 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[Secrets Manager .3] 删除未使用的秘密管理器机密

[秘密管理员 .4] Secrets Manager 机密应在指定的天数内轮换

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录

亚太地区 (首尔)

亚太地区 (首尔) 不支持以下控件。

亚太地区 (新加坡)

亚太地区(新加坡)不支持以下控件。

亚太地区 (悉尼)

亚太地区(悉尼)区域不支持以下控件。

亚太地区 (东京)

亚太地区(东京)不支持以下控件。

加拿大 (中部)

加拿大(中部)不支持以下控件。

中国(北京)

中国(北京)不支持以下控件。

CISAmazon基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.GuardDuty.1] 应启用警卫

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.SageMaker.1] Amazon SageMaker 笔记本实例不应具有直接互联网访问权限

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APIGateway .2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[网关 3] API Gateway REST API 阶段应该具有Amazon X-Ray跟踪已启用

[API Gateway 4] API 网关应与Amazon WAFWeb ACL

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[ECS.1] 亚马逊云服务器任务定义应具有安全联网模式和用户定义

[ElasticBeanstalk.1] Elastic Beanstalk 环境应该启用增强的运行状况报告

[弹性蜂窝 2] 应启用 Elastic Beanstalk 管理平台更新

[ES.3] Amazon Elasticsearch Service 域应加密节点之间发送的数据

[ES.4] 应启用 Amazon Elasticsearch Service 域错误日志记录到 CloudWatch Logs

[GuardDuty.1] 应启用 GuardDuty

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户管理策略不应允许对服务执行通配符操作

[Lambda.1] Lambda 函数策略应禁止公开访问

[Lambda.2] Lambda 函数应该使用支持的运行时

[RDS.7] RDS 集群应启用删除保护

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 群集配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[RDS.15] RDS 数据库群集应配置为多个可用区

[Redshift .7] Amazon Redshift 集群应使用增强的 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[Secrets Manager .3] 删除未使用的秘密管理器机密

[秘密管理员 .4] Secrets Manager 机密应在指定的天数内轮换

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录

中国 (宁夏)

中国(宁夏)不支持以下控件。

CISAmazon基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.GuardDuty.1] 应启用警卫

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.SageMaker.1] Amazon SageMaker 笔记本实例不应具有直接互联网访问权限

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APIGateway .2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[网关 3] API Gateway REST API 阶段应该具有Amazon X-Ray跟踪已启用

[API Gateway 4] API 网关应与Amazon WAFWeb ACL

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[ECS.1] 亚马逊云服务器任务定义应具有安全联网模式和用户定义

[ElasticBeanstalk.1] Elastic Beanstalk 环境应该启用增强的运行状况报告

[弹性蜂窝 2] 应启用 Elastic Beanstalk 管理平台更新

[ES.3] Amazon Elasticsearch Service 域应加密节点之间发送的数据

[ES.4] 应启用 Amazon Elasticsearch Service 域错误日志记录到 CloudWatch Logs

[GuardDuty.1] 应启用 GuardDuty

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户管理策略不应允许对服务执行通配符操作

[Lambda.1] Lambda 函数策略应禁止公开访问

[Lambda.2] Lambda 函数应该使用支持的运行时

[Lambda.4] Lambda 函数应配置死信队列

[RDS.7] RDS 集群应启用删除保护

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 群集配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[RDS.15] RDS 数据库群集应配置为多个可用区

[Redshift 3] Amazon Redshift 集群应启用自动快照

[Redshift .7] Amazon Redshift 集群应使用增强的 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[Secrets Manager .3] 删除未使用的秘密管理器机密

[秘密管理员 .4] Secrets Manager 机密应在指定的天数内轮换

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录

欧洲(法兰克福)

欧洲(法兰克福)不支持以下控件。

欧洲(爱尔兰)

欧洲(爱尔兰)不支持以下控件。

欧洲(伦敦)

欧洲(伦敦)不支持以下控件。

欧洲(米兰)

欧洲(米兰)不支持以下控件。

CISAmazon基准标准

1.4 — 确保访问密钥每 90 天或更短时间轮换一次

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] 代码构建 GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] 代码构建项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应为公共实例

[PCI.EC2.1] 不应公开还原亚马逊 EBS 快照

[PCI.EC2.3] 应删除未使用的 EC2 安全组

[PCI.EC2.4] 应删除未使用的 EC2 EIP

[PCI.EC2.5] 安全组不应允许从 0.0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[PCI.GuardDuty.1] 应启用警卫

[PCI.RDS.1] RDS 快照应禁止公开访问

[PCI.S3.6] 应启用 S3 阻止公开访问设置

[PCI.SageMaker.1] Amazon SageMaker 笔记本实例不应具有直接互联网访问权限

[PCI.SSM.1] 在安装补丁后,Systems Manager 管理的 Amazon EC2 实例的补丁合规性状态应该为符合性

[PCI.SSM.2] 由 Systems Manager 管理的实例的关联合规性状态应为COMPLIANT

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APIGateway .1] 应启用 API Gateway REST 和 WebSocket API 日志记录

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DMS.1]Amazon Database Migration Service复制实例不应为公共实例

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可进行恢复的能力

[EC2.3] 挂载的 EBS 卷应进行静态加密

[EC2.4] 应在指定的时间段之后删除已停止的 EC2 实例

[EC2.8] EC2 实例应使用 IMDSv2

[EFS.1] Amazon EFS 应配置为使用对文件数据静态配置Amazon KMS

[EFS.2] 亚马逊 EFS 卷应在备份计划中

[ELB.4] 应将应用程序负载平衡器配置为删除 HTTP 标头

[ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[EMR.1] 亚马逊 EMR 集群主节点不应具有公有 IP 地址

[ES.3] Amazon Elasticsearch Service 域应加密节点之间发送的数据

[GuardDuty.1] 应启用 GuardDuty

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[千米。3]Amazon KMS密钥不应无意中删除

[RDS.1] RDS 快照应为私有快照

[RDS.9] 应启用数据库日志记录

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[Redshift.2] 与亚马逊 Redshift 集群的连接应在传输过程中加密

[Redshift 3] Amazon Redshift 集群应启用自动快照

[S3.1] 应启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[SSM.2] 由 Systems Manager 管理的所有 EC2 实例都应符合修补要求

[SSM.3] 由 Systems Manager 管理的实例的关联合规性状态应为符合

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录

欧洲(巴黎)

欧洲(巴黎)不支持以下控件。

欧洲(斯德哥尔摩)

欧洲(斯德哥尔摩)不支持以下控件。

中东(巴林)

中东(巴林)不支持以下控件。

南美洲(圣保罗)

南美洲(圣保罗)不支持以下控件。

Amazon GovCloud(美国东部)

中不支持以下控件。AmazonGovCloud(美国东部)。

CISAmazon基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] 代码构建 GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] 代码构建项目环境变量不应包含明文凭证

[PCI.GuardDuty.1] 应启用警卫

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.SageMaker.1] Amazon SageMaker 笔记本实例不应具有直接互联网访问权限

Amazon 基础安全最佳实践标准

[APIGateway .2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[网关 3] API Gateway REST API 阶段应该具有Amazon X-Ray跟踪已启用

[API Gateway 4] API 网关应与Amazon WAFWeb ACL

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[ECS.1] 亚马逊云服务器任务定义应具有安全联网模式和用户定义

[EFS.2] 亚马逊 EFS 卷应在备份计划中

[ElasticBeanstalk.1] Elastic Beanstalk 环境应该启用增强的运行状况报告

[弹性蜂窝 2] 应启用 Elastic Beanstalk 管理平台更新

[ES.4] 应启用 Amazon Elasticsearch Service 域错误日志记录到 CloudWatch Logs

[GuardDuty.1] 应启用 GuardDuty

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户管理策略不应允许对服务执行通配符操作

[RDS.12] 应为 RDS 群集配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[RDS.15] RDS 数据库群集应配置为多个可用区

[Redshift .7] Amazon Redshift 集群应使用增强的 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[Secrets Manager .3] 删除未使用的秘密管理器机密

[秘密管理员 .4] Secrets Manager 机密应在指定的天数内轮换

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录

Amazon GovCloud(美国西部)

中不支持以下控件。AmazonGovCloud(美国西部)。

CISAmazon基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] 代码构建 GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] 代码构建项目环境变量不应包含明文凭证

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

Amazon 基础安全最佳实践标准

[APIGateway .2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[网关 3] API Gateway REST API 阶段应该具有Amazon X-Ray跟踪已启用

[API Gateway 4] API 网关应与Amazon WAFWeb ACL

[CloudFront.1] CloudFront 端发行版应该配置一个默认的根对象

[CloudFront.2] CloudFront 分发应该启用源访问标识

[云端前端 3] 云端分发应在传输过程中需要加密

[云端前端 4] CloudFront 分发应配置源故障转移

[云端前端 5] CloudFront 分发应该已启用日志记录

[云前沿 6] CloudFront 发行版应该具有Amazon WAFenabled

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[ECS.1] 亚马逊云服务器任务定义应具有安全联网模式和用户定义

[EFS.2] 亚马逊 EFS 卷应在备份计划中

[ElasticBeanstalk.1] Elastic Beanstalk 环境应该启用增强的运行状况报告

[弹性蜂窝 2] 应启用 Elastic Beanstalk 管理平台更新

[ES.4] 应启用 Amazon Elasticsearch Service 域错误日志记录到 CloudWatch Logs

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户管理策略不应允许对服务执行通配符操作

[RDS.12] 应为 RDS 群集配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS S.14] Amazon Aurora 集群应启用回溯跟踪功能

[RDS.15] RDS 数据库群集应配置为多个可用区

[Redshift .7] Amazon Redshift 集群应使用增强的 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[Secrets Manager .3] 删除未使用的秘密管理器机密

[秘密管理员 .4] Secrets Manager 机密应在指定的天数内轮换

[WAF.1]Amazon WAF应启用经典的全局 Web ACL 日志记录