支持的区域 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

支持的区域

查看哪些地区AmazonSecurity Hub 在中可用,请参阅Security Hub 服务终端节点.

跨区域查找聚合限制

跨区域查找聚合在中国区域或中国区域中不可用Amazon GovCloud (US) Region.

您不能将默认禁用的区域作为聚合区域。有关默认禁用的区域的列表,请参阅启用区域中的Amazon一般参考.

并非所有区域都支持集成

某些集成并非在所有区域都可用。如果不支持某个集成,则不会在 Integrations (集成) 页面上列出该集成。

集成在中国(北京)和中国(宁夏)

中国(北京)和中国(宁夏)区域仅支持以下区域:集成Amazon服务

  • Amazon Firewall Manager

  • Amazon GuardDuty

  • IAM Access Analyzer

  • OpsCenter Systems Manager 器和 OpsCenter

  • Patch Systems Manager Patch Manager

中国(北京)和中国(宁夏)区域仅支持以下区域:第三方集成

  • Cloud Custodian

  • FireEye Helix

  • Helecloud

  • IBM QRadar

  • PagerDuty

  • Palo Alto Networks Cortex XSOAR

  • Palo Alto Networks VM-Series

  • Prowler

  • RSA Archer

  • Splunk Enterprise

  • Splunk Phantom

  • ThreatModeler

支持的集成AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)

这些区域有:AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)区域仅支持以下内容:集成Amazon服务

  • Amazon Detective

  • Amazon Firewall Manager

  • Amazon GuardDuty

  • Amazon Inspector

  • IAM Access Analyzer

这些区域有:AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)区域仅支持以下内容:第三方集成

  • Atlassian Jira Service Manager

  • Atlassian OpsGenie

  • Caveonix Cloud

  • Cloud Custodian

  • Cloud Storage Security Antivirus for Amazon S3

  • cloudtamer.io

  • CrowdStrike Falcon

  • FireEye Helix

  • Forcepoint CASB

  • Forcepoint DLP

  • Forcepoint NGFW

  • MicroFocus ArcSight

  • NETSCOUT Cyber Investigator

  • PagerDuty

  • Palo Alto Networks – Prisma Cloud Compute

  • Palo Alto Networks – Prisma Cloud Enterprise

  • Palo Alto Networks – VM-Series

  • Prowler

  • Rackspace Technology – Cloud Native Security

  • Rapid7 InsightConnect

  • RSA Archer

  • SecureCloudDb

  • ServiceNow ITSM

  • Slack

  • ThreatModeler

  • Vectra AI Cognito Detect

并非所有区域都支持控件

以下区域不支持所有 Security Hub 控件。对于每个区域,该列表提供了不受支持的控件。

美国东部(俄亥俄)

美国东部(俄亥俄)不支持以下控件。

美国西部(加利福尼亚北部)

以下控件在美国西部(加利福尼亚北部)不支持。

美国西部(俄勒冈)

以下控件在美国西部(俄勒冈)不支持。

非洲(开普敦)

非洲(开普敦)不支持以下控件。

CISAmazon基金会基准标准

1.4 — 确保访问密钥每 90 天或更短时间轮换一次

1.12 — 确保不存在根账户访问密钥

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开

[PCI.EC2.1] Amazon EBS 快照不应公开还原

[PCI.EC2.4] 应删除未使用的 EC2 EIP

[PCI.EC2.5] 安全组不应允许从 0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[PCI.GuardDuty.1] 应启用 GuardDuty

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.RDS.1] RDS 快照应禁止公开访问

[PCI.sagemaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,系统管理器管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例应具有关联合规性状态COMPLIANT

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APigateWay.1] 应启用 API Gateway REST 和 WebSocket API 日志记录

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DMS.1]Amazon Database Migration Service复制实例不应该是公共实例

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可恢复的能力

[EC2.3] 连接的 EBS 卷应进行静态加密

[EC2.4] 应在指定时间段后删除已停止的 EC2 实例

[EC2.8] EC2 实例应使用 imdsv2

[EFS.1] Amazon EFS 应配置为使用以下方式对文件数据静态加密Amazon KMS

[EFS.2] Amazon EFS 卷应该在备份计划中

[ELB.2] 具有 SSL/HTTPS 侦听器的经典负载均衡器应使用Amazon Certificate Manager

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略

[ELBV2.1] 应将应 Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[EMR.1] Amazon EMR 群集主节点不应具有公有 IP 地址

[ES.3] Elasticsearch 域应加密节点之间发送的数据

[GuardDuty.1] 应启用 GuardDuty

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] IAM 根用户访问密钥不应存在

[RDS.1] RDS 快照应为私有快照

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[Redshift .3] Amazon Redshift 群集应启用自动快照

[S3.1] 应启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[SSM.2] 由 Systems Manager 托管的所有 EC2 实例都应符合修补要求

[SSM.3] 由系统管理器管理的实例应具有关联合规性状态COMPLIANT

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录

亚太地区(香港)

亚太地区(香港)不支持以下控件。

亚太地区(孟买)

亚太地区(孟买)不支持以下控件。

亚太地区(大阪)

亚太地区(大阪)不支持以下控件。

CISAmazon基金会基准标准

1.12 — 确保不存在根账户访问密钥

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开

[PCI.EC2.1] Amazon EBS 快照不应公开还原

[PCI.EC2.5] 安全组不应允许从 0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[PCI.ES.1] Elasticsearch 域应位于 VPC 中

[PCI.ES.2] Elasticsearch 域应启用静态加密

[PCI.GuardDuty.1] 应启用 GuardDuty

[PCI.IAM.1] IAM 根用户访问密钥不应存在

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.RDS.1] RDS 快照应禁止公开访问

[PCI.Redshift t.1] Amazon Redshift 集群应禁止公开访问

[PCI.S3.6] 应启用 S3 阻止公有访问设置

[PCI.sagemaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,系统管理器管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例应具有关联合规性状态COMPLIANT

Amazon 基础安全最佳实践标准

[APigateWay.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[APigateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用跟踪

[APigateWay.4] API Gateway 应与Amazon WAFWeb ACL

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[EC2.18] 安全组应该只允许授权端口不受限制的传入流量

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ECS.2] Amazon ECS 服务不应自动为其分配公有 IP 地址

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 具有 SSL/HTTPS 侦听器的经典负载均衡器应使用Amazon Certificate Manager

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务进行通配符操作

[KMS.3]Amazon KMS密钥不应该被无意中删除

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[Redshift .3] Amazon Redshift 群集应启用自动快照

[Redshift .7] Amazon Redshift 群集应使用增强型 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SecretsManager.3] 删除未使用的 Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录

亚太地区(首尔)

亚太地区(首尔)不支持以下控件。

亚太地区(新加坡)

亚太地区(新加坡)不支持以下控件。

亚太地区(悉尼)

亚太地区(悉尼)不支持以下控件。

亚太地区(东京)

亚太地区(东京)不支持以下控件。

加拿大(中部)

以下控件在加拿大(中部)不支持。

中国(北京)

中国(北京)不支持以下控件。

CISAmazon基金会基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.GuardDuty.1] 应启用 GuardDuty

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.sagemaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APigateWay.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[APigateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用跟踪

[APigateWay.4] API Gateway 应与Amazon WAFWeb ACL

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 具有 SSL/HTTPS 侦听器的经典负载均衡器应使用Amazon Certificate Manager

[ES.3] Elasticsearch 域应加密节点之间发送的数据

[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs

[GuardDuty.1] 应启用 GuardDuty

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务进行通配符操作

[Lambda.1] Lambda 函数策略应禁止公开访问

[Lambda.2] Lambda 函数应使用支持的运行时

[RDS.7] RDS 集群应启用删除保护

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照

[Redshift .7] Amazon Redshift 群集应使用增强型 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[SecretsManager.3] 删除未使用的 Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SSM.4] SSM 文档不应公开

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录

中国(宁夏)

中国(宁夏)不支持以下控件。

CISAmazon基金会基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.GuardDuty.1] 应启用 GuardDuty

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.Lambda.1] Lambda 函数应禁止公开访问

[PCI.Lambda.2] Lambda 函数应位于 VPC 中

[PCI.sagemaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APigateWay.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[APigateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用跟踪

[APigateWay.4] API Gateway 应与Amazon WAFWeb ACL

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 具有 SSL/HTTPS 侦听器的经典负载均衡器应使用Amazon Certificate Manager

[ES.3] Elasticsearch 域应加密节点之间发送的数据

[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs

[GuardDuty.1] 应启用 GuardDuty

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务进行通配符操作

[Lambda.1] Lambda 函数策略应禁止公开访问

[Lambda.2] Lambda 函数应使用支持的运行时

[RDS.7] RDS 集群应启用删除保护

[RDS.9] 应启用数据库日志记录

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[Redshift .3] Amazon Redshift 群集应启用自动快照

[Redshift .7] Amazon Redshift 群集应使用增强型 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[SecretsManager.3] 删除未使用的 Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SSM.4] SSM 文档不应公开

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录

欧洲(法兰克福)

欧洲(法兰克福)不支持以下控件。

欧洲(爱尔兰)

欧洲(爱尔兰)不支持以下控件。

欧洲(伦敦)

欧洲(伦敦)不支持以下控件。

欧洲(米兰)

欧洲(米兰)不支持以下控件。

CISAmazon基金会基准标准

1.4 — 确保访问密钥每 90 天或更短时间轮换一次

1.20 - 确保已创建支持角色来管理与 Amazon Support 相关的事件

4.1 — 确保没有安全组允许从 0.0.0/0 到端口 22 的传入流量

4.2 — 确保没有安全组允许从 0.0.0/0 到端口 3389 的传入流量

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.DMS.1]Amazon Database Migration Service复制实例不应公开

[PCI.EC2.1] Amazon EBS 快照不应公开还原

[PCI.EC2.4] 应删除未使用的 EC2 EIP

[PCI.EC2.5] 安全组不应允许从 0.0.0/0 到端口 22 的传入流量

[PCI.ELBV2.1] 应配置应 Application Load Balancer 以将所有 HTTP 请求重定向到 HTTPS

[PCI.GuardDuty.1] 应启用 GuardDuty

[PCI.RDS.1] RDS 快照应禁止公开访问

[PCI.S3.6] 应启用 S3 阻止公有访问设置

[PCI.sagemaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

[PCI.SSM.1] 在安装补丁后,系统管理器管理的 Amazon EC2 实例的补丁合规性状态应该为 COMPLIANT

[PCI.SSM.2] 由系统管理器管理的实例应具有关联合规性状态COMPLIANT

Amazon 基础安全最佳实践标准

[ACM.1] 导入的 ACM 证书应在指定时间段后续订

[APigateWay.1] 应启用 API Gateway REST 和 WebSocket API 日志记录

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DMS.1]Amazon Database Migration Service复制实例不应该是公共实例

[EC2.1] Amazon EBS 快照不应公开,这取决于所有人都可恢复的能力

[EC2.3] 连接的 EBS 卷应进行静态加密

[EC2.4] 应在指定时间段后删除已停止的 EC2 实例

[EC2.8] EC2 实例应使用 imdsv2

[EFS.1] Amazon EFS 应配置为使用以下方式对文件数据静态加密Amazon KMS

[EFS.2] Amazon EFS 卷应该在备份计划中

[ELB.2] 具有 SSL/HTTPS 侦听器的经典负载均衡器应使用Amazon Certificate Manager

[ELB.4] 应将应用程序负载均衡器配置为删除 HTTP 标头

[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略

[ELBV2.1] 应将应 Application Load Balancer 配置为将所有 HTTP 请求重定向到 HTTPS

[EMR.1] Amazon EMR 群集主节点不应具有公有 IP 地址

[ES.3] Elasticsearch 域应加密节点之间发送的数据

[GuardDuty.1] 应启用 GuardDuty

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[KMS.3]Amazon KMS密钥不应该被无意中删除

[RDS.1] RDS 快照应为私有快照

[RDS.9] 应启用数据库日志记录

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[Redshift .2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密

[Redshift .3] Amazon Redshift 群集应启用自动快照

[S3.1] 应启用 S3 阻止公有访问设置

[SageMaker.1] SageMaker 笔记本实例不应直接访问互联网

[SSM.2] 由 Systems Manager 托管的所有 EC2 实例都应符合修补要求

[SSM.3] 由系统管理器管理的实例应具有关联合规性状态COMPLIANT

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录

欧洲(巴黎)

欧洲(巴黎)不支持以下控件。

欧洲(斯德哥尔摩)

欧洲(斯德哥尔摩)不支持以下控件。

Middle East (Bahrain)

中东(巴林)不支持以下控件。

南美洲(圣保罗)

南美洲(圣保罗)不支持以下控件。

Amazon GovCloud(美国东部)

中不支持以下控件:AmazonGovCloud(美国东部)。

CISAmazon基金会基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.GuardDuty.1] 应启用 GuardDuty

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

[PCI.sagemaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

Amazon 基础安全最佳实践标准

[APigateWay.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[APigateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用跟踪

[APigateWay.4] API Gateway 应与Amazon WAFWeb ACL

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[EFS.2] Amazon EFS 卷应该在备份计划中

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ELB.2] 具有 SSL/HTTPS 侦听器的经典负载均衡器应使用Amazon Certificate Manager

[ELB.8] 带有 HTTPS/SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略

[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs

[GuardDuty.1] 应启用 GuardDuty

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务进行通配符操作

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[Redshift .7] Amazon Redshift 群集应使用增强型 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SecretsManager.3] 删除未使用的 Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SSM.4] SSM 文档不应公开

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录

Amazon GovCloud(美国西部)

中不支持以下控件:AmazonGovCloud(美国西部)。

CISAmazon基金会基准标准

1.13 — 确保为 “根” 账户启用 MFA

1.14 — 确保为 “根” 账户启用硬件 MFA

支付卡行业数据安全标准 (PCI DSS)

[PCI.CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[PCI.CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[PCI.IAM.4] 应该为根用户启用硬件 MFA

[PCI.IAM.5] 应该为根用户启用虚拟 MFA

Amazon 基础安全最佳实践标准

[APigateWay.2] API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证

[APigateWay.3] API Gateway REST API 阶段应该有Amazon X-Ray启用跟踪

[APigateWay.4] API Gateway 应与Amazon WAFWeb ACL

[CloudFront .1] CloudFront 分配应配置默认的根对象

[CloudFront .2] CloudFront 分配应启用源访问身份

[CloudFront .3] CloudFront 发行版应在传输过程中需要加

[CloudFront .4] CloudFront 分配应配置源故障转移

[CloudFront .5] CloudFront 分配应启用日志记录

[CloudFront.6] CloudFront 发行版应该有Amazon WAF已启用

[CodeBuild.1] CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth

[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

[EC2.15] EC2 子网不应自动分配公有 IP 地址

[EC2.16] 应删除未使用的网络访问控制列表

[EC2.17] EC2 实例不应使用多个 ENI

[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义

[EFS.2] Amazon EFS 卷应该在备份计划中

[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务进行通配符操作

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.14] Amazon Aurora 群集应启用回溯追踪

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[Redshift .7] Amazon Redshift 群集应使用增强型 VPC 路由

[S3.8] 应在存储桶级别启用 S3 阻止公有访问设置

[SecretsManager.3] 删除未使用的 Secrets Manager 密钥

[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

[SSM.4] SSM 文档不应公开

[WA.1]Amazon WAF应该启用传统的全局 Web ACL 日志记录