Security Hub 控件参考 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件参考

此控件参考提供了可用 Amazon Security Hub 控件的列表,以及指向有关每个控件的更多信息的链接。概览表按控件 ID 按字母顺序显示控件。该表提供了每个控件的以下信息:

  • 安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的 Amazon Web Service 和资源。无论账户中开启还是关闭了整合的控件调查发现,Security Hub 控制台都会显示安全控件 ID。但是,只有在账户中启用了整合的控件调查发现时,Security Hub 的调查发现才会引用安全控件 ID。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件 ID 可能会因标准而异。有关特定于标准的控件 ID 与安全控件 ID 的映射,请参阅 整合如何影响控件 ID 和标题

    如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控件 ID 保持不变。

    控件 ID 可能会跳过数字。这些是未来控件的占位符。

  • 适用标准——指明控件适用于哪些标准。选择一个控件以查看第三方合规性框架的具体要求。

  • 安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub 控制台都会显示安全控件标题。但是,只有在账户中启用了整合的控件调查发现时,Security Hub 的调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定于标准的控件 ID 与安全控件 ID 的映射,请参阅 整合如何影响控件 ID 和标题

  • 严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅 为控件调查发现分配严重性

  • 计划类型——指明何时评估控件。有关更多信息,请参阅有关运行安全检查的计划

  • 支持自定义参数-指示控件是否支持一个或多个参数的自定义值。选择一个控件以查看参数的详细信息。有关更多信息,请参阅自定义控制参数

选择一个控件以查看更多详细信息。控件按服务名称的字母顺序列出。

安全控件 ID 安全控件标题 适用标准 严重性 支持自定义参数 计划类型
Account.1 应为以下人员提供安全联系信息 Amazon Web Services 账户 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
Account.2 Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分 NIST SP 800-53 Rev. 5 HIGH(高) 定期
ACM.1 导入的证书和 ACM 颁发的证书应在指定时间段后更新 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发且定期进行
ACM.2 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度 Amazon 基础安全最佳实践 v1.0.0 HIGH(高) 变更已触发
APIGateway.1 应启用 API Gateway REST 和 WebSocket API 执行日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
APIGateway.2 API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
APIGateway.3 API Gateway REST API 阶段应启用 Amazon X-Ray 跟踪 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
APIGateway.4 API Gateway 应与 WAF Web ACL 关联 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
APIGateway.5 API Gateway REST API 缓存数据应静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
APIGateway.8 API Gateway 路由应指定授权类型 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
APIGateway.9 应为 API Gateway V2 阶段配置访问日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
AppSync.2 Amazon AppSync 应该启用字段级日志记录 Amazon 基础安全最佳实践 v1.0.0 变更已触发
AppSync.5 Amazon AppSync 不应使用 API 密钥对 GraphQL API 进行身份验证 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
Athena.1 Athena 工作组应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower 变更已触发
AutoScaling.1 与经典负载均衡器关联的自动扩缩组应使用负载均衡器运行状况检查 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 变更已触发
AutoScaling.2 Amazon EC2 自动扩缩组应覆盖多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
AutoScaling.3 自动扩缩组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
AutoScaling.4 自动扩缩组启动配置的元数据响应跳跃限制不应大于 1 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
Autoscaling.5 使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
AutoScaling.6 自动扩缩组组应在多个可用区中使用多种实例类型 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
AutoScaling.9 EC2 自动扩缩组应使用 EC2 启动模板 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Backup.1 Amazon Backup 恢复点应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFormation.1 CloudFormation 堆栈应与简单通知服务 (SNS) Service 集成 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.1 CloudFront 发行版应该配置一个默认的根对象 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
CloudFront.3 CloudFront 发行版在传输过程中应要求加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.4 CloudFront 发行版应配置源站故障转移 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.5 CloudFront 发行版应该启用日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.6 CloudFront 发行版应启用 WAF Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.7 CloudFront 发行版应使用自定义 SSL/TLS 证书 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.8 CloudFront 发行版应使用 SNI 来处理 HTTPS 请求 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.9 CloudFront 发行版应加密发往自定义来源的流量 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.10 CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
CloudFront.12 CloudFront 发行版不应指向不存在的 S3 来源 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 定期
CloudFront.13 CloudFront 发行版应使用源站访问控制 Amazon 基础安全最佳实践 v1.0.0 变更已触发
CloudTrail.1 CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 CIS Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower HIGH(高) 定期
CloudTrail.2 CloudTrail 应该启用静态加密 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon 定期
CloudTrail.3 CloudTrail 应该启用 PCI DSS v3.2.1 HIGH(高) 定期
CloudTrail.4 CloudTrail 应启用日志文件验证 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon 定期
CloudTrail.5 CloudTrail 应将跟踪与 Amazon CloudWatch 日志集成 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon 定期
CloudTrail.6 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 关键 变更已触发且定期进行
CloudTrail.7 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.1 应具有有关“根”用户使用的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 Amazon 定期
CloudWatch.2 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 独联体 Amazon 基金会基准测试 v1.2.0 定期
CloudWatch.3 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 独联体 Amazon 基金会基准测试 v1.2.0 定期
CloudWatch.4 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.5 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.6 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.7 确保存在关于禁用或计划删除客户创建的 CMK 的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.8 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.9 确保存在 Amazon Config 配置更改的日志指标筛选器和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.10 确保存在关于安全组更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.11 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.12 确保存在关于网络网关更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.13 确保存在关于路由表更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.14 确保存在关于 VPC 更改的日志指标筛选条件和警报 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
CloudWatch.15 CloudWatch 警报应配置指定的操作 NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
CloudWatch.16 CloudWatch 日志组应在指定的时间段内保留 NIST SP 800-53 Rev. 5 定期
CloudWatch.17 CloudWatch 应启用警报操作 NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
CodeBuild.1 CodeBuild Bitbucket 源存储库网址不应包含敏感凭据 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
CodeBuild.2 CodeBuild 项目环境变量不应包含明文凭证 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
CodeBuild.3 CodeBuild S3 日志应加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
CodeBuild.4 CodeBuild 项目环境应该有日志配置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
CodeBuild.5 CodeBuild 项目环境不应启用特权模式 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
Config.1 Amazon Config 应该启用 CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 Amazon 定期
DMS.1 Database Migration Service 复制实例不应公开 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 定期
DMS.6 DMS 复制实例应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
DMS.7 目标数据库的 DMS 复制任务应启用日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
DMS.8 源数据库的 DMS 复制任务应启用日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
DMS.9 DMS 端点应使用 SSL Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
DocumentDB.1 Amazon DocumentDB 集群应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
DocumentDB.2 Amazon DocumentDB 集群应有足够的备份保留期 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
DocumentDB.3 Amazon DocumentDB 手动集群快照不应公开 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 关键 变更已触发
DocumentDB.4 Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
DocumentDB.5 Amazon DocumentDB 集群应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
DynamoDB.1 DynamoDB 表应根据需求自动扩展容量 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
DynamoDB.2 DynamoDB 表应该启用恢复功能 point-in-time Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
DynamoDB.3 DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
DynamoDB.4 备份计划中应有 DynamoDB 表 NIST SP 800-53 Rev. 5 定期
DynamodB.6 DynamoDB 表应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
EC2.1 不应公开还原 EBS 快照 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 定期
EC2.2 VPC 默认安全组不应允许入站或出站流量 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon HIGH(高) 变更已触发
EC2.3 挂载的 EBS 卷应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EC2.4 停止的 EC2 实例应在指定时间段后删除 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
EC2.6 应在所有 VPC 中启用 VPC 流日志记录 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon 定期
EC2.7 EBS 默认加密应该为已启用。 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0 Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 定期
EC2.8 EC2 实例应使用实例元数据服务版本 2 (IMDSv2) Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EC2.9 EC2 实例不应拥有公有 IPv4 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EC2.10 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
EC2.12 应删除未使用的 EC2 EIP PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 变更已触发
EC2.13 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 CIS F Amazon oundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EC2.14 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 独联体 Amazon 基金会基准测试 v1.2.0 HIGH(高) 变更已触发
EC2.15 EC2 子网不应自动分配公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EC2.16 应删除未使用的网络访问控制列表 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EC2.17 EC2 实例不应使用多个 ENI Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EC2.18 安全组应仅允许授权端口不受限制的传入流量 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EC2.19 安全组不应允许无限制地访问高风险端口 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 关键 变更已触发
EC2.20 Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应处于开启状态 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EC2.21 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0 Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 变更已触发
EC2.22 应删除未使用的 EC2 安全组 服务管理标准: Amazon Control Tower 定期
EC2.23 EC2 中转网关不应自动接受 VPC 附件请求 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EC2.24 不应使用 EC2 半虚拟化实例类型 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
EC2.25 EC2 启动模板不应将公共 IP 分配给网络接口 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EC2.28 EBS 卷应包含在备份计划中 NIST SP 800-53 Rev. 5 定期
EC2.51 EC2 Client VPN 端点应启用客户端连接日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
ECR.1 ECR 私有存储库应配置图像扫描 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 定期
ECR.2 ECR 私有存储库应配置标签不可变性 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ECR.3 ECR 存储库应至少配置一项生命周期策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ECS.1 Amazon ECS 任务定义应具有安全网络模式和用户定义。 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.2 ECS 服务不应自动分配公共 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.3 ECS 任务定义不应共享主机的进程命名空间 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.4 ECS 容器应以非特权身份运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.5 ECS 容器应限制为仅对根文件系统具有只读访问权限。 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.8 密钥不应作为容器环境变量传递 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.9 ECS 任务定义应具有日志配置 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ECS.10 ECS Fargate 服务应在最新的 Fargate 平台版本上运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ECS.12 ECS 集群应该使用容器详情 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EFS.1 弹性文件系统应配置为使用以下方法加密静态文件数据 Amazon KMS Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
EFS.2 Amazon EFS 卷应包含在备份计划中 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
EFS.3 EFS 接入点应强制使用根目录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EFS.4 EFS 接入点应强制使用用户身份 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EKS.1 EKS 集群端点不应公开访问 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 定期
EKS.2 EKS 集群应在受支持的 Kubernetes 版本上运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
EKS.8 EKS 集群应启用审核日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
ElastiCache.1 ElastiCache Redis 集群应启用自动备份 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 定期
ElastiCache.2 ElastiCache 对于 Redis 缓存集群,应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 定期
ElastiCache.3 ElastiCache 复制组应启用自动故障切换 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
ElastiCache.4 ElastiCache 复制组应该已 encryption-at-rest 启用 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
ElastiCache.5 ElastiCache 复制组应该已 encryption-in-transit 启用 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
ElastiCache.6 ElastiCache 早期 Redis 版本的复制组应启用 Redis 身份验证 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
ElastiCache.7 ElastiCache 群集不应使用默认子网组 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 定期
ElasticBeanstalk.1 Elastic Beanstalk 环境应启用增强型运行状况报告 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ElasticBeanstalk.2 应启用 Elastic Beanstalk 托管平台更新 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
ElasticBeanstalk.3 Elastic Beanstalk 应该将日志流式传输到 CloudWatch Amazon 基础安全最佳实践 v1.0.0 HIGH(高) 变更已触发
ELB.1 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 定期
ELB.2 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由 Amazon Certificate Manager 提供的证书 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.3 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.4 应将应用程序负载均衡器配置为删除 http 标头 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.5 应启用应用程序和经典负载均衡器日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.6 应启用应用程序负载均衡器删除保护 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.7 经典负载均衡器应启用连接耗尽功能 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.8 具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.9 经典负载均衡器应启用跨区域负载均衡器 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.10 经典负载均衡器应跨越多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.12 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.13 应用程序、网络和网关负载均衡器应跨越多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.14 经典负载均衡器应配置为防御性或最严格的异步缓解模式 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ELB.16 应用程序负载均衡器应与 Amazon WAF Web ACL 关联 NIST SP 800-53 Rev. 5 变更已触发
EMR.1 Amazon EMR 集群主节点不应有公有 IP 地址 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 定期
EMR.2 应启用 Amazon EMR 屏蔽公共访问权限设置 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 关键 定期
ES.1 Elasticsearch 域应启用静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 定期
ES.2 Elasticsearch 域名不可供公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 定期
ES.3 Elasticsearch 域应加密节点之间发送的数据 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ES.4 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ES.5 Elasticsearch 域名应该启用审核日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ES.6 Elasticsearch 域应拥有至少三个数据节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ES.7 Elasticsearch 域应配置至少三个专用主节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
ES.8 连接到 Elasticsearch 域时应使用 TLS 1.2 进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
EventBridge.3 EventBridge 自定义事件总线应附加基于资源的策略 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
EventBridge.4 EventBridge 全局端点应启用事件复制 NIST SP 800-53 Rev. 5 变更已触发
fsx.1 应将 FSx for OpenZFS 文件系统配置为将标签复制到备份和卷 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
GuardDuty.1 GuardDuty 应该启用 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 HIGH(高) 定期
IAM.1 IAM policy 不应允许完全“*”管理权限 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon HIGH(高) 变更已触发
IAM.2 IAM 用户不应附加 IAM policy CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 变更已触发
IAM.3 IAM 用户访问密钥应每 90 天或更短时间轮换一次 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,CIS Amazon 基金会基准 v1.4.0,NIST SP 8 Amazon Control Tower00-53 修订版 5 定期
IAM.4 不应存在 IAM 根用户访问密钥 CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon 关键 定期
IAM.5 应为拥有控制台密码的所有 IAM 用户启用 MFA CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,CIS Amazon 基金会基准 v1.4.0,NIST SP 8 Amazon Control Tower00-53 修订版 5 定期
IAM.6 应该为根用户启用硬件 MFA CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon 关键 定期
IAM.7 IAM 用户的密码策略应具有可靠的配置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
IAM.8 应移除未使用的 IAM 用户凭证 CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 定期
IAM.9 应为根用户启用 MFA CIS Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 关键 定期
IAM.10 IAM 用户的密码策略应具有可靠的配置 PCI DSS v3.2.1 定期
IAM.11 确保 IAM 密码策略要求包含至少一个大写字母 独联体 Amazon 基金会基准测试 v1.2.0 定期
IAM.12 确保 IAM 密码策略要求包含至少一个小写字母 独联体 Amazon 基金会基准测试 v1.2.0 定期
IAM.13 确保 IAM 密码策略要求包含至少一个符号 独联体 Amazon 基金会基准测试 v1.2.0 定期
IAM.14 确保 IAM 密码策略要求包含至少一个数字 独联体 Amazon 基金会基准测试 v1.2.0 定期
IAM.15 确保 IAM 密码策略要求最短密码长度不低于 14 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
IAM.16 确保 IAM 密码策略阻止重复使用密码 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
IAM.17 确保 IAM 密码策略使密码在 90 天或更短时间内失效 独联体 Amazon 基金会基准测试 v1.2.0 定期
IAM.18 确保已创建支持角色来管理事件 Amazon Web Services Support 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 定期
IAM.19 应该为所有 IAM 用户启用 MFA PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 定期
IAM.20 避免使用根用户 独联体 Amazon 基金会基准测试 v1.2.0 定期
IAM.21 您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
IAM.22 应移除在 45 天内未使用的 IAM 用户凭证 独联体 Amazon 基金会基准测试 v1.4.0 定期
Kinesis.1 Kinesis 直播应在静态状态下进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
KMS.1 IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
KMS.2 IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
KMS.3 Amazon KMS keys 不应无意中删除 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 关键 变更已触发
KMS.4 Amazon KMS key 应该启用旋转 CIS Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 定期
Lambda.1 Lambda 函数策略应禁止公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
Lambda.2 Lambda 函数应使用受支持的运行时系统 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Lambda.3 Lambda 函数应位于 VPC 中 PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 变更已触发
Lambda.5 VPC Lambda 函数应在多个可用区内运行 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Macie.1 应该启用亚马逊 Macie Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
Macie.2 应启用 Macie 自动发现敏感数据 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 HIGH(高) 定期
MSK.1 MSK 集群应在代理节点之间传输时进行加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
MSK.2 MSK 集群应配置增强监控 NIST SP 800-53 Rev. 5 变更已触发
MQ.5 ActiveMQ 代理应使用主动/备用部署模式 NIST SP 800-53 Rev. 5 变更已触发
MQ.6 RabbitMQ 代理应该使用集群部署模式 NIST SP 800-53 Rev. 5 变更已触发
Neptune.1 应对 Neptune 数据库集群进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 定期
Neptune.2 Neptune 数据库集群应将审核日志发布到日志 CloudWatch Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 定期
Neptune.3 Neptune 数据库集群快照不应公开 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 关键 变更已触发
Neptune.4 Neptune 数据库集群应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
Neptune.5 Neptune 数据库集群应启用自动备份 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
Neptune.6 应对 Neptune 数据库集群快照进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
Neptune.7 Neptune 数据库集群应启用 IAM 数据库身份验证 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
Neptune.8 应将 Neptune 数据库集群配置为将标签复制到快照 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
Neptune.9 Neptune 数据库集群应部署在多个可用区中 NIST SP 800-53 Rev. 5 变更已触发
NetworkFirewall.1 Network Firewall 防火墙应跨多个可用区部署 NIST SP 800-53 Rev. 5 变更已触发
NetworkFirewall.2 应启用 Network Firewall 日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
NetworkFirewall.3 Network Firewall 策略应至少关联一个规则组 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
NetworkFirewall.4 Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
NetworkFirewall.5 Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
NetworkFirewall.6 无状态网络防火墙规则组不应为空 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
NetworkFirewall.9 Network Firewall 防火墙应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
Opensearch.1 OpenSearch 域应启用静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 变更已触发
Opensearch.2 OpenSearch 域名不应公开访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
Opensearch.3 OpenSearch 域应加密节点之间发送的数据 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Opensearch.4 OpenSearch 应该启用记录到 CloudWatch 日志的域错误 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Opensearch.5 OpenSearch 域应启用审核日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Opensearch.6 OpenSearch 域应至少有三个数据节点 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Opensearch.7 OpenSearch 域名应启用细粒度访问控制 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
Opensearch.8 与 OpenSearch 域的连接应使用 TLS 1.2 进行加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Opensearch.10 OpenSearch 域名应安装最新的软件更新 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
PCA.1 Amazon Private CA 应禁用根证书颁发机构 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
RDS.1 RDS 快照应为私有快照 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
RDS.2 根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
RDS.3 RDS 数据库实例应启用静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0 Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 变更已触发
RDS.4 RDS 集群快照和数据库快照应进行静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.5 RDS 数据库实例应配置多个可用区 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.6 应为 RDS 数据库实例配置增强监控 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.7 RDS 集群应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.8 RDS 数据库实例应启用删除保护 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.9 RDS 数据库实例应将日志发布到 CloudWatch 日志 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.10 应为 RDS 实例配置 IAM 身份验证 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.11 RDS 实例应启用自动备份 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.12 应为 RDS 集群配置 IAM 身份验证 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.13 应启用 RDS 自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
RDS.14 Amazon Aurora 集群应启用回溯功能 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.15 应为多个可用区配置 RDS 数据库集群 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.16 应将 RDS 数据库集群配置为将标签复制到快照 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.17 应将 RDS 数据库实例配置为将标签复制到快照 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.18 RDS 实例应部署在 VPC 中 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
RDS.19 应为关键集群事件配置现有 RDS 事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.20 应为关键数据库实例事件配置现有 RDS 事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.21 应为关键数据库参数组事件配置 RDS 事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.22 应为关键数据库安全组事件配置 RDS 事件通知订阅 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.23 RDS 实例不应使用数据库引擎的默认端口 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.24 RDS 数据库集群应使用自定义管理员用户名 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.25 RDS 数据库实例应使用自定义管理员用户名 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
RDS.26 RDS 数据库实例应受备份计划保护 NIST SP 800-53 Rev. 5 定期
RDS.27 应对 RDS 数据库集群进行静态加密 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower 变更已触发
RDS.34 Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
RDS.35 RDS 数据库集群应启用自动次要版本升级 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
Redshift.1 Amazon Redshift 集群应禁止公共访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发
Redshift.2 与 Amazon Redshift 集群的连接应在传输过程中加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Redshift.3 Amazon Redshift 集群应启用自动快照 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
Redshift.4 Amazon Redshift 集群应启用审核日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Redshift.6 Amazon Redshift 应该启用自动升级到主要版本的功能 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Redshift.7 Redshift 集群应使用增强型 VPC 路由 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Redshift.8 Amazon Redshift 集群不应使用默认管理员用户名 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Redshift.9 Redshift 集群不应使用默认数据库名称 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Redshift.10 Redshift 集群应静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
Route53.2 Route 53 公共托管区域应记录 DNS 查询 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
S3.1 应启用 S3 阻止公有访问设置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5 定期
S3.2 S3 存储桶应禁止公开读取访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发且定期进行
S3.3 S3 存储桶应禁止公开写入访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 关键 变更已触发且定期进行
S3.5 S3 存储桶应要求请求才能使用安全套接字层 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5 变更已触发
S3.6 应限制授予其他存储桶 Amazon Web Services 账户 内策略的 S3 权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
S3.7 S3 存储桶应启用跨区域复制 PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 变更已触发
S3.8 应在存储桶级启用 S3 阻止公有访问设置 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0 Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 HIGH(高) 变更已触发
S3.9 应启用 S3 存储桶服务器访问日志记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
S3.10 启用版本控制的 S3 存储桶应配置生命周期策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
S3.11 S3 存储桶应启用事件通知 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
S3.12 S3 访问控制列表 (ACL) 不应用于管理用户对存储桶的访问 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
S3.13 S3 存储桶应配置生命周期策略 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
S3.14 S3 存储桶应启用版本控制 NIST SP 800-53 Rev. 5 变更已触发
S3.15 应将 S3 存储桶配置为使用对象锁定 NIST SP 800-53 Rev. 5 变更已触发
S3.17 S3 存储桶应使用静态加密 Amazon KMS keys NIST SP 800-53 Rev. 5 变更已触发
S3.19 S3 接入点应启用屏蔽公共访问权限设置 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 关键 变更已触发
S3.20 S3 通用存储桶应启用 MFA 删除功能 CIS Amazon 基金会基准 v1.4.0,NIST SP 800-53 Rev. 5 变更已触发
SageMaker.1 Amazon SageMaker 笔记本实例不应直接访问互联网 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 HIGH(高) 定期
SageMaker.2 SageMaker 笔记本实例应在自定义 VPC 中启动 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
SageMaker.3 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 HIGH(高) 变更已触发
SecretsManager.1 Secrets Manager 密钥应启用自动轮换 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
SecretsManager.2 配置自动轮换的 Secrets Manager 密钥应成功轮换 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
SecretsManager.3 移除未使用 Secrets Manager 密钥 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
SecretsManager.4 Secrets Manager 密钥应在指定的天数内轮换 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 定期
SNS.1 SNS 主题应使用以下方法进行静态加密 Amazon KMS Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
SNS.2 应为发送到主题的通知消息启用传输状态记录 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
SQS.1 应对 Amazon SQS 队列进行静态加密 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
SSM.1 EC2 实例应由以下人员管理 Amazon Systems Manager Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 变更已触发
SSM.2 由 Systems Manager 管理的 EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态 Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 HIGH(高) 变更已触发
SSM.3 由 Systems Manager 管理的 EC2 实例的关联合规性的状态应为 COMPLIANT Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control TowerP 800-53 Rev. 5 变更已触发
SSM.4 SSM 文档不应公开 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 关键 定期
StepFunctions.1 Step Functions 状态机应该开启日志功能 Amazon 基础安全最佳实践 变更已触发
WAF.1 Amazon WAF 应启用经典全局 Web ACL 日志记录 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 定期
WAF.2 Amazon WAF 经典区域规则应至少有一个条件 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
WAF.3 Amazon WAF 经典区域规则组应至少有一条规则 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
WAF.4 Amazon WAF 经典区域 Web ACL 应至少有一个规则或规则组 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
WAF.6 Amazon WAF 经典全局规则应至少有一个条件 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
WAF.7 Amazon WAF 经典全局规则组应至少有一条规则 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
WAF.8 Amazon WAF 经典全局 Web ACL 应至少有一个规则或规则组 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发
WAF.10 Amazon WAF Web ACL 应至少有一个规则或规则组 Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 变更已触发
WAF.11 Amazon WAF 应启用 Web ACL 日志记录 NIST SP 800-53 Rev. 5 定期
WAF.12 Amazon WAF 规则应启用 CloudWatch 指标 Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 变更已触发