您可能要禁用的 CIS AWS Foundations 基准控制 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可能要禁用的 CIS AWS Foundations 基准控制

对于 CIS AWS Foundations 基准标准,以下是一些您可能要禁用的特定控制。您可能希望禁用它们,因为它们与仅存在于特定账户或区域中的资源相关。如果找不到相关资源,则控制将产生 WARNING 状态。

CIS AWS Foundations 基准 2.7 控制

此控制处理使用 AWS KMS 加密 CloudTrail 跟踪日志的操作。如果您在集中式日志记录账户中记录这些跟踪,则只需在进行集中式日志记录的账户和区域中运行此控制。

CIS AWS Foundations 基准 1.2-1.14、1.16、1.20、1.22 和 2.5 控制

要节省 AWS Config 的成本,您可以禁用所有区域(有一个区域除外)中的全局资源的记录,然后禁用处理所有区域(运行全局记录的区域除外)中的全局资源的这些控件。

如果您禁用这些 1.x 控件并禁用特定区域中的全局资源记录,则还应禁用 2.5。这是因为 2.5 需要全局资源记录才能通过。

CIS AWS Foundations 基准 1.1 和 3.x 控制

如果您在集中式账户中有一个符合这些控制要求的 SNS 主题,则可以在除该集中式账户之外的所有账户中禁用这些控制。

对于多区域或组织 CloudTrail 跟踪,您可以在所有账户和区域中禁用这些控件以及 2.4,但在日志组中接收 CloudWatch 日志的位置除外。