本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
区域限制
某些SAmazon ecurity Hub 功能仅在部分功能中可用Amazon Web Services 区域。以下部分指定了这些区域限制。
跨区域聚合限制
在中Amazon GovCloud (US),跨区域聚合Amazon GovCloud (US)仅适用于发现、查找更新和见解。具体而言,您只能汇总发现、查找更新以及介于Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)之间的见解。
在中国区域,跨区域聚合仅适用于中国地区的发现、查找更新和见解。具体而言,您只能汇总中国(北京)和中国(宁夏)之间的发现、最新动态和见解。
您不能使用默认情况下禁用的区域作为聚合区域。有关默认禁用的区域列表,请参阅《Amazon一般参考》中的启用区域。
并非所有区域都支持集成
某些集成并非在所有区域都可用。如果某个集成在特定区域不可用,则当您选择该区域时,它不会在 Security Hub 控制台的集成页面上列出。
中国(北京)和中国(宁夏)支持的集成
中国(北京)和中国(宁夏)区域仅支持以下Amazon服务集成:
-
Amazon Firewall Manager
-
Azon GuardDuty
-
IAM Access Analyzer
-
Systems Man
-
Systems Manager OpsCenter
-
Systems Manager
中国(北京)和中国(宁夏)区域仅支持以下第三方集成:
-
Cloud Custodian
-
FireEye Helix
-
Helecloud
-
IBM QRadar
-
PagerDuty
-
Palo Alto Networks Cortex XSOAR
-
Palo Alto Networks VM-Series
-
Prowler
-
RSA Archer
-
Splunk Enterprise
-
Splunk Phantom
-
ThreatModeler
Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)中支持的集成
Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)区域仅支持以下Amazon服务集成:
-
Amazon Config
-
Amazon Detective
-
Amazon Firewall Manager
-
Azon GuardDuty
-
Amazon Health
-
Amazon Inspector
-
IAM Access Analyzer
Amazon GovCloud (美国东部)和Amazon GovCloud (美国西部)区域仅支持以下第三方集成:
-
Atlassian Jira Service Manager
-
Atlassian OpsGenie
-
Caveonix Cloud
-
Cloud Custodian
-
Cloud Storage Security Antivirus for Amazon S3
-
CrowdStrike Falcon
-
FireEye Helix
-
Forcepoint CASB
-
Forcepoint DLP
-
Forcepoint NGFW
-
Fugue
-
Kion
-
MicroFocus ArcSight
-
NETSCOUT Cyber Investigator
-
PagerDuty
-
Palo Alto Networks – Prisma Cloud Compute
-
Palo Alto Networks – Prisma Cloud Enterprise
-
Palo Alto Networks – VM-Series(仅在Amazon GovCloud (美国西部)提供)
-
Prowler
-
Rackspace Technology – Cloud Native Security
-
Rapid7 InsightConnect
-
RSA Archer
-
SecureCloudDb
-
ServiceNow ITSM
-
Slack
-
ThreatModeler
-
Vectra AI Cognito Detect
所有区域中均不支持控件
以下区域不支持所有Security Hub 控件。对于每个区域,此列表显示了不支持的控件。
美国东部(俄亥俄州)
美国东部(俄亥俄)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
美国西部(北加利福尼亚)
美国西部(加利福尼亚北部)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
美国西部(俄勒冈州)
美国西部(俄勒冈)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
非洲(开普敦)
非洲(开普敦)不支持以下控件。
- CISAmazon 基金会基准标准
-
1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth
[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书
[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开
[PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22
[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[PCI。GuardDuty1] GuardDuty 应启用
[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本电脑实例不应直接访问互联网
[PCI.SSM.1] 安装补丁后,由 Systems Manager 管理的 Amazon EC2 实例的补丁合规状态应为 “合规”
- Amazon 基础安全最佳实践标准
-
[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订
[ApiGateway.1] 应该启用 API Gateway REST 和 WebSocket API 日志记录
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文证书
[DMS.1]Amazon Database Migration Service 复制实例不应公开
[EC2.1] Amazon EBS 快照不应公开,这取决于任何人都可恢复的可用性
[EFS.1] 应将 Amazon EFS 配置为使用以下方法加密静态文件数据Amazon KMS
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头
[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略
[elbv2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[IAM.3] IAM 用户的访问密钥应每 90 天或更短时间轮换一次
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[RDS.14] Amazon Aurora 集群应启用回溯功能
[Redshift.3] Amazon Redshift 集群应启用自动快照
[SageMaker.1] SageMaker 笔记本电脑实例不应直接访问互联网
[SSM.2] 由 Systems Manager 管理的所有 EC2 实例都应符合补丁要求
[SSM.3] 由 Systems Manager 管理的实例的关联合规状态应为COMPLIANT
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
亚太地区(香港)
亚太地区(香港)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[RDS.14] Amazon Aurora 集群应启用回溯功能
亚太地区(雅加达)
亚太地区(雅加达)不支持以下控件。
- CISAmazon 基金会基准标准
-
1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件
4.1 — 确保没有安全组允许从 0.0.0.0.0.0.0.0.0 进入端口 22
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth
[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书
[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开
[PCI.EC2.2] VPC 默认安全组应禁止入站和出站流量
[PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22
[PCI.EC2.6] 应在所有 VPC 中启用 VPC 流量记录
[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[PCI.ES.1] Elasticsearch 域应该在 VPC 中
[PCI.ES.2] Elasticsearch 域应启用静态加密
[PCI。GuardDuty1] GuardDuty 应启用
[PCI.Lambda.2] Lambda 函数应位于 VPC 中
[PCI。OpenSearch.1] 亚马逊 OpenSearch 服务域应位于 VPC 中
[PCI。OpenSearch2] OpenSearch 域应启用静态加密
[pci.redshift.1] Amazon Redshift 集群应禁止公共访问
[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本电脑实例不应直接访问互联网
[PCI.SSM.1] 安装补丁后,由 Systems Manager 管理的 Amazon EC2 实例的补丁合规状态应为 “合规”
- Amazon 基础安全最佳实践标准
-
[ApiGateway.1] 应该启用 API Gateway REST 和 WebSocket API 日志记录
[ApiGateway.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证
[ApiGateway.3] API Gateway REST API 阶段应该启用Amazon X-Ray跟踪
[ApiGateway.4] API Gateway 应该与Amazon WAF Web ACL 相关联
[AutoScaling.2] Auto Scaling 组应涵盖多个可用区
[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳数限制不应大于1
[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多个实例类型
[AutoScaling.9] EC2 Auto Scaling 组应使用 EC2 启动模板
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文证书
[CodeBuild.4] CodeBuild 项目环境应该有日志配置
[CodeBuild.5] CodeBuild 项目环境不应启用特权模式
[DMS.1]Amazon Database Migration Service 复制实例不应公开
[DynamoDB.2] DynamoDB 表应启用 point-in-time 恢复功能
[DynamoDB.3] DynamoDB Acelerator (DAX) 集群应进行静态加密
[EC2.1] Amazon EBS 快照不应公开,这取决于任何人都可恢复的可用性
[EC2.6] 应在所有 VPC 中启用 VPC 流量日志记录
[EC2.10] 应将 Amazon EC2 配置为使用为Amazon EC2 服务创建的 VPC 终端节点
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.27] 运行 EC2 实例不应使用密钥对(已停用)
[ECS.5] ECS 容器应限于对根文件系统的只读访问权限
[ECS.10] Fargate 服务应该在最新的 Fargate 平台版本上运行
[EFS.1] 应将 Amazon EFS 配置为使用以下方法加密静态文件数据Amazon KMS
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.3] Classic Load Balancer 监听器应配置为 HTTPS 或 TLS 终止
[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头
[ELB.6] 应启用Application Load Balancer 删除保护
[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略
[ELB.12] 应用程序负载均衡器应配置为防御或最严格的不同步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[elbv2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[ES.2] Elasticsearch 域应该在 VPC 中
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥进行解密和重新加密操作
[KMS.2] IAM 委托人不应有允许对所有 KMS 密钥进行解密和重新加密操作的 IAM 内联策略
[Lambda.5] VPC Lambda 函数应在多个可用区中运行
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] 对于完整的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[NetworkFirewall.5] 对于分段数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.4] 应对 RDS 集群快照和数据库快照进行静态加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
[Redshift.3] Amazon Redshift 集群应启用自动快照
[Redshift.7] Amazon Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[S3.10] 启用版本控制的 S3 存储桶应配置生命周期策略
[S3.12] 不应使用 S3 访问控制列表 (ACL) 来管理用户对存储区的访问
[SageMaker.1] SageMaker 笔记本电脑实例不应直接访问互联网
[SecretsManager.1] Secrets Manager 密钥应启用自动轮换
[SecretsManager.2] 配置为自动轮换的 Secrets Manager 密钥应成功轮换
[SecretsManager.3] 移除未使用的Secrets Manager 密钥
[SNS.1] SNS 主题应使用以下方法进行静态加密Amazon KMS
[SNS.2] 应为发送到主题的通知消息启用传送状态日志功能
[SQS.1] 应对 Amazon SQS 队列进行静态加密
[SSM.1] EC2 实例应由以下人员管理Amazon Systems Manager
[SSM.2] 由 Systems Manager 管理的所有 EC2 实例都应符合补丁要求
[SSM.3] 由 Systems Manager 管理的实例的关联合规状态应为COMPLIANT
[WAF.1] 应启用Amazon WAF经典的全球 Web ACL 日志记录
亚太地区(孟买)
亚太地区(孟买)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
亚太地区(大阪)
亚太地区(大阪)不支持以下控件。
- CISAmazon 基金会基准标准
-
1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth
[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书
[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开
[PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22
[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[PCI.ES.1] Elasticsearch 域应该在 VPC 中
[PCI.ES.2] Elasticsearch 域应启用静态加密
[PCI。GuardDuty1] GuardDuty 应启用
[PCI.Lambda.1] Lambda 函数应禁止公共访问
[PCI.Lambda.2] Lambda 函数应位于 VPC 中
[pci.redshift.1] Amazon Redshift 集群应禁止公共访问
[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本电脑实例不应直接访问互联网
[PCI.SSM.1] 安装补丁后,由 Systems Manager 管理的 Amazon EC2 实例的补丁合规状态应为 “合规”
- Amazon 基础安全最佳实践标准
-
[ApiGateway.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证
[ApiGateway.3] API Gateway REST API 阶段应该启用Amazon X-Ray跟踪
[ApiGateway.4] API Gateway 应该与Amazon WAF Web ACL 相关联
[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.4] CodeBuild 项目环境应该有日志配置
[CodeBuild.5] CodeBuild 项目环境不应启用特权模式
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义
[ECS.2] Amazon ECS 服务不应自动分配公有 IP 地址
[ECS.10] Fargate 服务应该在最新的 Fargate 平台版本上运行
[EKS.2] EKS 集群应该在支持的 Kubernetes 版本上运行
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头
[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥进行解密和重新加密操作
[KMS.2] IAM 委托人不应有允许对所有 KMS 密钥进行解密和重新加密操作的 IAM 内联策略
[Lambda.5] VPC Lambda 函数应在多个可用区中运行
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[Redshift.3] Amazon Redshift 集群应启用自动快照
[Redshift.7] Amazon Redshift 集群应使用增强型 VPC 路由
[SecretsManager.1] Secrets Manager 密钥应启用自动轮换
[SecretsManager.3] 移除未使用的Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
亚太地区(首尔)
亚太地区(首尔)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
亚太地区(新加坡)
亚太地区(新加坡)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
亚太地区(悉尼)
亚太地区(悉尼)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[Redshift.3] Amazon Redshift 集群应启用自动快照
亚太地区(东京)
亚太地区(东京)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
加拿大(中部)
加拿大(中部)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
中国(北京)
中国(北京)不支持以下控件。
- CISAmazon 基金会基准标准
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。GuardDuty1] GuardDuty 应启用
[PCI.Lambda.1] Lambda 函数应禁止公共访问
- Amazon 基础安全最佳实践标准
-
[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订
[ApiGateway.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证
[ApiGateway.3] API Gateway REST API 阶段应该启用Amazon X-Ray跟踪
[ApiGateway.4] API Gateway 应该与Amazon WAF Web ACL 相关联
[AutoScaling.2] Auto Scaling 组应涵盖多个可用区
[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳数限制不应大于1
[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多个实例类型
[AutoScaling.9] EC2 Auto Scaling 组应使用 EC2 启动模板
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.4] CodeBuild 项目环境应该有日志配置
[CodeBuild.5] CodeBuild 项目环境不应启用特权模式
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[EC2.27] 运行 EC2 实例不应使用密钥对(已停用)
[ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义
[ECS.5] ECS 容器应限于对根文件系统的只读访问权限
[ECS.10] Fargate 服务应该在最新的 Fargate 平台版本上运行
[EKS.2] EKS 集群应该在支持的 Kubernetes 版本上运行
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.12] 应用程序负载均衡器应配置为防御或最严格的不同步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御或最严格的不同步缓解模式
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[ES.4] 应启用 Elasticsearch 域错误记录到 CloudWatch 日志
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Kinesis.1] Kinesis Data Streams 应该在静态时加密
[Lambda.5] VPC Lambda 函数应在多个可用区中运行
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] 对于完整的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[NetworkFirewall.5] 对于分段数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[Redshift.7] Amazon Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[S3.12] 不应使用 S3 访问控制列表 (ACL) 来管理用户对存储区的访问
[SageMaker.1] SageMaker 笔记本电脑实例不应直接访问互联网
[SecretsManager.3] 移除未使用的Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
[SNS.2] 应为发送到主题的通知消息启用传送状态日志功能
[WAF.1] 应启用Amazon WAF经典的全球 Web ACL 日志记录
中国(宁夏)
中国(宁夏)不支持以下控件。
- CISAmazon 基金会基准标准
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。GuardDuty1] GuardDuty 应启用
[PCI.Lambda.1] Lambda 函数应禁止公共访问
- Amazon 基础安全最佳实践标准
-
[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订
[ApiGateway.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证
[ApiGateway.3] API Gateway REST API 阶段应该启用Amazon X-Ray跟踪
[ApiGateway.4] API Gateway 应该与Amazon WAF Web ACL 相关联
[AutoScaling.2] Auto Scaling 组应涵盖多个可用区
[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳数限制不应大于1
[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多个实例类型
[AutoScaling.9] EC2 Auto Scaling 组应使用 EC2 启动模板
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.4] CodeBuild 项目环境应该有日志配置
[CodeBuild.5] CodeBuild 项目环境不应启用特权模式
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[EC2.27] 运行 EC2 实例不应使用密钥对(已停用)
[ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义
[ECS.5] ECS 容器应限于对根文件系统的只读访问权限
[ECS.10] Fargate 服务应该在最新的 Fargate 平台版本上运行
[EKS.2] EKS 集群应该在支持的 Kubernetes 版本上运行
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.12] 应用程序负载均衡器应配置为防御或最严格的不同步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御或最严格的不同步缓解模式
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[ES.4] 应启用 Elasticsearch 域错误记录到 CloudWatch 日志
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Kinesis.1] Kinesis Data Streams 应该在静态时加密
[Lambda.5] VPC Lambda 函数应在多个可用区中运行
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] 对于完整的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[NetworkFirewall.5] 对于分段数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[Redshift.3] Amazon Redshift 集群应启用自动快照
[Redshift.7] Amazon Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[S3.12] 不应使用 S3 访问控制列表 (ACL) 来管理用户对存储区的访问
[SageMaker.1] SageMaker 笔记本电脑实例不应直接访问互联网
[SecretsManager.3] 移除未使用的Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
[SNS.2] 应为发送到主题的通知消息启用传送状态日志功能
[WAF.1] 应启用Amazon WAF经典的全球 Web ACL 日志记录
欧洲(法兰克福)
欧洲(法兰克福)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
欧洲(爱尔兰)
欧洲(爱尔兰)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
欧洲(伦敦)
欧洲(伦敦)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
欧洲(米兰)
欧洲(米兰)不支持以下控件。
- CISAmazon 基金会基准标准
-
1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth
[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书
[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开
[PCI.EC2.5] 安全组不应允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 进入端口 22
[PCI.ELBV2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[PCI。GuardDuty1] GuardDuty 应启用
[PCI。SageMaker.1] 亚马逊 SageMaker 笔记本电脑实例不应直接访问互联网
[PCI.SSM.1] 安装补丁后,由 Systems Manager 管理的 Amazon EC2 实例的补丁合规状态应为 “合规”
- Amazon 基础安全最佳实践标准
-
[ACM.1] 导入的和 ACM 颁发的证书应在指定的时间段后续订
[ApiGateway.1] 应该启用 API Gateway REST 和 WebSocket API 日志记录
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文证书
[DMS.1]Amazon Database Migration Service 复制实例不应公开
[EC2.1] Amazon EBS 快照不应公开,这取决于任何人都可恢复的可用性
[EFS.1] 应将 Amazon EFS 配置为使用以下方法加密静态文件数据Amazon KMS
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头
[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略
[elbv2.1] 应将Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[IAM.3] IAM 用户的访问密钥应每 90 天或更短时间轮换一次
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
[Redshift.3] Amazon Redshift 集群应启用自动快照
[SageMaker.1] SageMaker 笔记本电脑实例不应直接访问互联网
[SSM.2] 由 Systems Manager 管理的所有 EC2 实例都应符合补丁要求
[SSM.3] 由 Systems Manager 管理的实例的关联合规状态应为COMPLIANT
欧洲(巴黎)
欧洲(巴黎)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
欧洲(斯德哥尔摩)
欧洲(斯德哥尔摩)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[RDS.14] Amazon Aurora 集群应启用回溯功能
中东(巴林)
中东(巴林)不支持以下控件。
- 支付卡行业数据安全标准 (PCI DSS)
- Amazon 基础安全最佳实践标准
-
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[Redshift.6] Amazon Redshift 应该启用到主要版本的自动升级
[SSM.2] 由 Systems Manager 管理的所有 EC2 实例都应符合补丁要求
南美洲(圣保罗)
南美洲(圣保罗)不支持以下控件。
- Amazon 基础安全最佳实践标准
-
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
Amazon GovCloud (美国东部)
Amazon GovCloud (美国东部)中不支持以下控件。
- CISAmazon 基金会基准标准
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth
[PCI。CodeBuild2] CodeBuild 项目环境变量不应包含明文证书
- Amazon 基础安全最佳实践标准
-
[ApiGateway.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证
[ApiGateway.3] API Gateway REST API 阶段应该启用Amazon X-Ray跟踪
[ApiGateway.4] API Gateway 应该与Amazon WAF Web ACL 相关联
[AutoScaling.2] Auto Scaling 组应涵盖多个可用区
[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳数限制不应大于1
[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多个实例类型
[AutoScaling.9] EC2 Auto Scaling 组应使用 EC2 启动模板
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文证书
[CodeBuild.4] CodeBuild 项目环境应该有日志配置
[CodeBuild.5] CodeBuild 项目环境不应启用特权模式
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[EC2.27] 运行 EC2 实例不应使用密钥对(已停用)
[ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义
[ECS.2] Amazon ECS 服务不应自动分配公有 IP 地址
[ECS.5] ECS 容器应限于对根文件系统的只读访问权限
[ECS.10] Fargate 服务应该在最新的 Fargate 平台版本上运行
[EKS.2] EKS 集群应该在支持的 Kubernetes 版本上运行
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.2] 具有 HTTPS/SSL 侦听器的经典负载均衡器应使用提供的证书Amazon Certificate Manager
[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略
[ELB.12] 应用程序负载均衡器应配置为防御或最严格的不同步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御或最严格的不同步缓解模式
[ES.4] 应启用 Elasticsearch 域错误记录到 CloudWatch 日志
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Kinesis.1] Kinesis Data Streams 应该在静态时加密
[Lambda.5] VPC Lambda 函数应在多个可用区中运行
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] 对于完整的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[NetworkFirewall.5] 对于分段数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[Redshift.7] Amazon Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[S3.12] 不应使用 S3 访问控制列表 (ACL) 来管理用户对存储区的访问
[SecretsManager.3] 移除未使用的Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
[SNS.2] 应为发送到主题的通知消息启用传送状态日志功能
[WAF.1] 应启用Amazon WAF经典的全球 Web ACL 日志记录
Amazon GovCloud (美国西部)
Amazon GovCloud (美国西部)中不支持以下控件。
- CISAmazon 基金会基准标准
- 支付卡行业数据安全标准 (PCI DSS)
-
[PCI。CodeBuild1] CodeBuild GitHub 或者 Bitbucket 源存储库 URL 应该使用 OAuth
- Amazon 基础安全最佳实践标准
-
[ApiGateway.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证
[ApiGateway.3] API Gateway REST API 阶段应该启用Amazon X-Ray跟踪
[ApiGateway.4] API Gateway 应该与Amazon WAF Web ACL 相关联
[AutoScaling.2] Auto Scaling 组应涵盖多个可用区
[AutoScaling.3] Auto Scaling 组应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳数限制不应大于1
[AutoScaling.5] 使用 Auto Scaling 组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[AutoScaling.6] Auto Scaling 组应在多个可用区中使用多个实例类型
[AutoScaling.9] EC2 Auto Scaling 组应使用 EC2 启动模板
[CloudFormation.1] CloudFormation 堆栈应与Simple Notification Service (SNS) 集成
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.2] CloudFront 发行版应启用原始访问身份
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置原始故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应该已Amazon WAF启用
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来提供 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密流向自定义源的流量
[CloudFront.10] CloudFront 发行版不应在边缘站点和自定义源之间使用过时的 SSL 协议
[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文证书
[CodeBuild.4] CodeBuild 项目环境应该有日志配置
[CodeBuild.5] CodeBuild 项目环境不应启用特权模式
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
[EC2.20]Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应已启动
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.23] EC2 传输网关不应自动接受 VPC 连接请求
[EC2.27] 运行 EC2 实例不应使用密钥对(已停用)
[ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义
[ECS.2] Amazon ECS 服务不应自动分配公有 IP 地址
[ECS.5] ECS 容器应限于对根文件系统的只读访问权限
[ECS.10] Fargate 服务应该在最新的 Fargate 平台版本上运行
[EKS.2] EKS 集群应该在支持的 Kubernetes 版本上运行
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.12] 应用程序负载均衡器应配置为防御或最严格的不同步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御或最严格的不同步缓解模式
[ES.4] 应启用 Elasticsearch 域错误记录到 CloudWatch 日志
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Kinesis.1] Kinesis Data Streams 应该在静态时加密
[Lambda.5] VPC Lambda 函数应在多个可用区中运行
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] 对于完整的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[NetworkFirewall.5] 对于分段数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[OpenSearch.1] OpenSearch 域应启用静态加密
[OpenSearch.2] OpenSearch 域应位于 VPC 中
[OpenSearch.3] OpenSearch 域应加密节点之间发送的数据
[OpenSearch.4] 应启用将 OpenSearch 域错误记录到 CloudWatch 日志
[OpenSearch.5] OpenSearch 域应启用审核日志
[OpenSearch.6] OpenSearch 域应至少有三个数据节点
[OpenSearch.7] OpenSearch 域应启用精细访问控制
[OpenSearch.8] 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[Redshift.7] Amazon Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[S3.12] 不应使用 S3 访问控制列表 (ACL) 来管理用户对存储区的访问
[SecretsManager.3] 移除未使用的Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
[SNS.2] 应为发送到主题的通知消息启用传送状态日志功能
[WAF.1] 应启用Amazon WAF经典的全球 Web ACL 日志记录