本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 中的 NIST SP 800-53 修订版 5
<a name="standards-reference-nist-800-53"></a>

NIST 专题出版物 800-53 修订版 5（NIST SP 800-53 Rev. 5）是由美国商务部下属机构美国国家标准与技术研究院（NIST）开发的网络安全和合规框架。此合规框架提供了一系列安全和隐私要求，用于保护信息系统和关键资源的机密性、完整性和可用性。美国联邦政府机构和承包商必须遵守这些要求，以保护其系统和组织。私营机构也可以自愿将这些要求作为降低网络安全风险的指导框架。有关该框架及其要求的更多信息，请参阅 *NIST 计算机安全资源中心*中的 [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)。

Amazon Security Hub CSPM 提供的安全控制措施支持 NIST SP 800-53 修订版 5 要求的子集。这些控件会对某些 Amazon Web Services 服务 资源执行自动安全检查。要启用和管理这些控件，您可以将 NIST SP 800-53 修订版 5 框架作为 Security Hub CSPM 中的标准启用。请注意，控件不支持需要手动检查的 NIST SP 800-53 修订版 5 要求。

与其他框架不同，NIST SP 800-53 修订版 5 框架没有规定如何评估其要求。相反，该框架提供了指南。在 Security Hub CSPM 中，NIST SP 800-53 修订版 5 标准和控件代表了该服务对这些指南的理解。

**Topics**
+ [为标准配置资源记录](#standards-reference-nist-800-53-recording)
+ [确定哪些控件适用于标准](#standards-reference-nist-800-53-controls)

## 为适用于标准的控件配置资源记录
<a name="standards-reference-nist-800-53-recording"></a>

为了优化覆盖范围和结果的准确性，在 Sec Amazon urity Hub CSPM 中启用 NIST SP 800-53 修订版 5 标准 Amazon Config 之前，在中启用和配置资源记录非常重要。配置资源记录时，还要确保为所有类型的 Amazon 资源启用该功能，这些资源由适用于标准的控件进行检查。这主要适用于具有*变更已触发*计划类型的控件。但是，某些具有*定期*计划类型的控件也需要资源记录。如果未正确启用或配置资源记录，Security Hub CSPM 可能无法评估适当的资源，也无法针对适用于标准的控件生成准确的调查发现。

有关 Security Hub CSPM 如何在中使用资源记录的信息 Amazon Config，请参阅。[为 Security Hub CSPM 启用和配置 Amazon Config](securityhub-setup-prereqs.md)有关在中配置资源记录的信息 Amazon Config，请参阅[《*Amazon Config 开发人员指南》*中的使用配置记录器](https://docs.amazonaws.cn/config/latest/developerguide/stop-start-recorder.html)。

下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-53 修订版 5 标准的控件要记录的资源类型。


| Amazon Web Services 服务 | 资源类型 | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  Amazon AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  Amazon Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  Amazon Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  Amazon CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  亚马逊 CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  亚马逊 CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  Amazon CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  Amazon Database Migration Service (Amazon DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud（Amazon EC2）  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry（Amazon ECR）  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service（Amazon ECS）  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System（Amazon EFS）  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service（Amazon EKS）  |  `AWS::EKS::Cluster`  | 
|  Amazon Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  亚马逊 ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  亚马逊 EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  Amazon Glue  |  `AWS::Glue::Job`  | 
|  Amazon Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  Amazon Key Management Service (Amazon KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  Amazon Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  Amazon Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|  亚马逊 OpenSearch 服务  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service（Amazon S3）  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  Amazon Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  亚马逊 SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  Amazon Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  Amazon Transfer Family  |  `AWS::Transfer::Connector`  | 
|  Amazon WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## 确定哪些控件适用于标准
<a name="standards-reference-nist-800-53-controls"></a>

以下列表列出了支持 NIST SP 800-53 修订版 5 要求并适用于 Security Hub CSPM 中的 NIST SP 800-53 修订版 5 标准的控件。 Amazon 有关控件支持的特定要求的详细信息，请选择该控件。然后参阅控件详细信息中的**相关要求**字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求，则控件不支持该要求。
+ [[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户](account-controls.md#account-1)
+ [[账户.2] Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分](account-controls.md#account-2)
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] API Gateway REST API 阶段应启用 Amazon X-Ray 跟踪](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway 应与 WAF Web ACL 关联](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] API Gateway 路由应指定授权类型](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] 不应使用 API Amazon AppSync 密 APIs 钥对 GraphQL 进行身份验证](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] 应在静态状态下对 Amazon Backup 恢复点进行加密](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront 发行版应配置默认根对象](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront 发行版在传输过程中应要求加密](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront 发行版应配置源站故障转移](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront 发行版应启用日志记录](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront 发行版应启用 WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 Amazon KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch 警报应配置指定操作](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] 应激 CloudWatch 活警报动作](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 Amazon Config](codebuild-controls.md#codebuild-4) 
+  [Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) 
+  [[DataFirehose.1] Firehose 传输流应在静态状态下进行加密](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Database Migration Service 复制实例不应公开](dms-controls.md#dms-1) 
+  [[DMS.6] DMS 复制实例应启用自动次要版本升级](dms-controls.md#dms-6) 
+  [[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-7) 
+  [[DMS.8] 源数据库的 DMS 复制任务应启用日志记录](dms-controls.md#dms-8) 
+  [[DMS.9] DMS 端点应使用 SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权](dms-controls.md#dms-10) 
+  [[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制](dms-controls.md#dms-11) 
+  [[DMS.12] Redis OSS 的 DMS 端点应启用 TLS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开](documentdb-controls.md#documentdb-3) 
+  [[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] DynamoDB Accelerator（DAX）集群应在静态状态下进行加密](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] 备份计划中应有 DynamoDB 表](dynamodb-controls.md#dynamodb-4) 
+  [[DynamodB.6] DynamoDB 表应启用删除保护](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Amazon EBS 快照不应公开恢复](ec2-controls.md#ec2-1) 
+  [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) 
+  [[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密](ec2-controls.md#ec2-3) 
+  [[EC2.4] 停止的 EC2 实例应在指定时间段后删除](ec2-controls.md#ec2-4) 
+  [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7) 
+  [[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] 亚马逊 EC2 实例不应有公有地址 IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10) 
+  [[EC2.12] EIPs 应移除未使用的亚马逊 EC2](ec2-controls.md#ec2-12) 
+  [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13) 
+  [[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址](ec2-controls.md#ec2-15) 
+  [[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16) 
+  [[EC2.17] 亚马逊 EC2 实例不应使用多个 ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18) 
+  [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19) 
+  [[EC2.20] VPN 连接的两个 VPN 隧道都应 Amazon Site-to-Site 处于开启状态](ec2-controls.md#ec2-20) 
+  [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求](ec2-controls.md#ec2-23) 
+  [[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型](ec2-controls.md#ec2-24) 
+  [[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口](ec2-controls.md#ec2-25) 
+  [[EC2.28] 备份计划应涵盖 EBS 卷](ec2-controls.md#ec2-28) 
+  [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs 应配置用于 ECR API 的接口端点](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs 应配置 Docker Registry 的接口端点](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs 应配置 Systems Manager 的接口端点](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点](ec2-controls.md#ec2-60)
+  [[ECR.1] ECR 私有存储库应配置图像扫描](ecr-controls.md#ecr-1) 
+  [[ECR.2] ECR 私有存储库应配置标签不可变性](ecr-controls.md#ecr-2) 
+  [[ECR.3] ECR 存储库应至少配置一个生命周期策略](ecr-controls.md#ecr-3) 
+  [[ECR.5] ECR 存储库应使用客户托管进行加密 Amazon KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义](ecs-controls.md#ecs-1) 
+  [[ECS.2] ECS 服务不应自动分配公有 IP 地址](ecs-controls.md#ecs-2) 
+  [[ECS.3] ECS 任务定义不应共享主机的进程命名空间](ecs-controls.md#ecs-3) 
+  [[ECS.4] ECS 容器应以非特权身份运行](ecs-controls.md#ecs-4) 
+  [[ECS.5] ECS 任务定义应将容器配置为仅限于对根文件系统的只读访问权限](ecs-controls.md#ecs-5) 
+  [[ECS.8] 密钥不应作为容器环境变量传递](ecs-controls.md#ecs-8) 
+  [[ECS.9] ECS 任务定义应具有日志配置](ecs-controls.md#ecs-9) 
+  [[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行](ecs-controls.md#ecs-10) 
+  [[ECS.12] ECS 集群应该使用容器详情](ecs-controls.md#ecs-12) 
+  [[ECS.17] ECS 任务定义不应使用主机网络模式](ecs-controls.md#ecs-17) 
+  [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Amazon EFS 卷应包含在备份计划中](efs-controls.md#efs-2) 
+  [[EFS.3] EFS 接入点应强制使用根目录](efs-controls.md#efs-3) 
+  [[EFS.4] EFS 接入点应强制使用用户身份](efs-controls.md#efs-4) 
+  [[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联](efs-controls.md#efs-6) 
+  [[EKS.1] EKS 集群端点不应公开访问](eks-controls.md#eks-1) 
+  [[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行](eks-controls.md#eks-2) 
+  [[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥](eks-controls.md#eks-3) 
+  [[EKS.8] EKS 集群应启用审核日志记录](eks-controls.md#eks-8) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] ElastiCache 复制组应启用自动故障切换](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] ElastiCache 复制组应进行静态加密](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] ElastiCache 复制组在传输过程中应加密](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache （Redis OSS）早期版本的复制组应启用 Redis OSS 身份验证](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache 群集不应使用默认子网组](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3) 
+  [[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头](elb-controls.md#elb-4) 
+  [[ELB.5] 应启用应用程序和经典负载均衡器日志记录](elb-controls.md#elb-5) 
+  [[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护](elb-controls.md#elb-6) 
+  [[ELB.7] 经典负载均衡器应启用连接耗尽功能](elb-controls.md#elb-7) 
+  [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 Amazon Config](elb-controls.md#elb-8) 
+  [[ELB.9] 经典负载均衡器应启用跨区域负载均衡器](elb-controls.md#elb-9) 
+  [[ELB.10] 经典负载均衡器应跨越多个可用区](elb-controls.md#elb-10) 
+  [[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-12) 
+  [[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区](elb-controls.md#elb-13) 
+  [[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式](elb-controls.md#elb-14) 
+  [[ELB.16] 应用程序负载均衡器应与 Web ACL 关联 Amazon WAF](elb-controls.md#elb-16) 
+  [[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略](elb-controls.md#elb-17) 
+  [[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址](emr-controls.md#emr-1) 
+  [[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置](emr-controls.md#emr-2) 
+  [[EMR.3] Amazon EMR 安全配置应静态加密](emr-controls.md#emr-3) 
+  [[EMR.4] Amazon EMR 安全配置应在传输过程中加密](emr-controls.md#emr-4) 
+  [[ES.1] Elasticsearch 域应启用静态加密](es-controls.md#es-1) 
+  [[ES.2] Elasticsearch 域名不可供公共访问](es-controls.md#es-2) 
+  [[ES.3] Elasticsearch 域应加密节点之间发送的数据](es-controls.md#es-3) 
+  [[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志](es-controls.md#es-4) 
+  [[ES.5] Elasticsearch 域名应该启用审核日志](es-controls.md#es-5) 
+  [[ES.6] Elasticsearch 域应拥有至少三个数据节点](es-controls.md#es-6) 
+  [[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点](es-controls.md#es-7) 
+  [[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密](es-controls.md#es-8) 
+  [[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] EventBridge 全局端点应启用事件复制](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx 对于 OpenZFS 文件系统，应配置为将标签复制到备份和卷](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx 对于 Lustre 文件系统，应配置为将标签复制到备份](fsx-controls.md#fsx-2) 
+  [[Glue.4] Amazon Glue Spark 作业应在支持的版本上运行 Amazon Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1) 
+  [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) 
+  [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) 
+  [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) 
+  [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) 
+  [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) 
+  [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7) 
+  [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) 
+  [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9) 
+  [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19) 
+  [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21) 
+  [[Kinesis.1] Kinesis 直播应在静态状态下进行加密](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作](kms-controls.md#kms-1) 
+  [[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略](kms-controls.md#kms-2) 
+  [Amazon KMS keys 不应无意中删除 [KMS.3]](kms-controls.md#kms-3) 
+  [[KMS.4] 应启用 Amazon KMS 密钥轮换](kms-controls.md#kms-4) 
+  [[Lambda.1] Lambda 函数策略应禁止公共访问](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Lambda 函数应使用受支持的运行时系统](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Lambda 函数应位于 VPC 中](lambda-controls.md#lambda-3) 
+  [[Lambda.5] VPC Lambda 函数应在多个可用区内运行](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Lambda 函数应启用主动跟踪 Amazon X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1) 
+  [[Macie.2] 应启用 Macie 敏感数据自动发现](macie-controls.md#macie-2) 
+  [[MSK.1] MSK 集群应在代理节点之间传输时进行加密](msk-controls.md#msk-1) 
+  [[MSK.2] MSK 集群应配置增强型监控](msk-controls.md#msk-2) 
+  [[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Amazon MQ 代理应启用次要版本自动升级](mq-controls.md#mq-3) 
+  [[MQ.5] ActiveMQ 经纪商应使用部署模式 active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] RabbitMQ 代理应该使用集群部署模式](mq-controls.md#mq-6) 
+  [[Neptune.1] 应对 Neptune 数据库集群进行静态加密](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Neptune 数据库集群快照不应公开](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Neptune 数据库集群应启用删除保护](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Neptune 数据库集群应启用自动备份](neptune-controls.md#neptune-5) 
+  [[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证](neptune-controls.md#neptune-7) 
+  [[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Neptune 数据库集群应跨多个可用区部署](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch 域名应启用静态加密](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch 域名不应向公众开放](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch 域应加密节点之间发送的数据](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch 域应启用审核日志](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch 域名应至少有三个数据节点](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch 域名应启用精细的访问控制](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.10] OpenSearch 域名应安装最新的软件更新](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] 应禁用 Amazon 私有 CA 根证书颁发机构](pca-controls.md#pca-1) 
+  [[RDS.1] RDS 快照应为私有](rds-controls.md#rds-1) 
+  [[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3) 
+  [[RDS.4] RDS 集群快照和数据库快照应进行静态加密](rds-controls.md#rds-4) 
+  [[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5) 
+  [[RDS.6] 应为 RDS 数据库实例配置增强监控](rds-controls.md#rds-6) 
+  [[RDS.7] RDS 集群应启用删除保护](rds-controls.md#rds-7) 
+  [[RDS.8] RDS 数据库实例应启用删除保护](rds-controls.md#rds-8) 
+  [[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] 应为 RDS 实例配置 IAM 身份验证](rds-controls.md#rds-10) 
+  [[RDS.11] RDS 实例应启用自动备份](rds-controls.md#rds-11) 
+  [[RDS.12] 应为 RDS 集群配置 IAM 身份验证](rds-controls.md#rds-12) 
+  [[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13) 
+  [[RDS.14] Amazon Aurora 集群应启用回溯功能](rds-controls.md#rds-14) 
+  [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15) 
+  [[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照](rds-controls.md#rds-16) 
+  [[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照](rds-controls.md#rds-17) 
+  [[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-19) 
+  [[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅](rds-controls.md#rds-20) 
+  [[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅](rds-controls.md#rds-21) 
+  [[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅](rds-controls.md#rds-22) 
+  [[RDS.23] RDS 实例不应使用数据库引擎的默认端口](rds-controls.md#rds-23) 
+  [[RDS.24] RDS 数据库集群应使用自定义管理员用户名](rds-controls.md#rds-24) 
+  [[RDS.25] RDS 数据库实例应使用自定义管理员用户名](rds-controls.md#rds-25) 
+  [[RDS.26] RDS 数据库实例应受备份计划保护](rds-controls.md#rds-26) 
+  [[RDS.27] 应对 RDS 数据库集群进行静态加密](rds-controls.md#rds-27) 
+  [[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] RDS 数据库集群应启用自动次要版本升级](rds-controls.md#rds-35) 
+  [[RDS.40] 适用于 SQL Server 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] 适用于 MariaDB 数据库实例的 RDS 应将日志发布到日志 CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录](rds-controls.md#rds-45) 
+  [[Redshift.1] Amazon Redshift 集群应禁止公共访问](redshift-controls.md#redshift-1) 
+  [[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Amazon Redshift 集群应启用自动快照](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Amazon Redshift 集群应启用审核日志记录](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Redshift 集群应使用增强型 VPC 路由](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Redshift 集群应在静态状态下进行加密](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 Amazon KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Route 53 公有托管区域应记录 DNS 查询](route53-controls.md#route53-2) 
+  [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) 
+  [[S3.2] S3 通用存储桶应阻止公共读取访问权限](s3-controls.md#s3-2) 
+  [[S3.3] S3 通用存储桶应阻止公共写入访问权限](s3-controls.md#s3-3) 
+  [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) 
+  [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户](s3-controls.md#s3-6) 
+  [[S3.7] S3 通用存储桶应使用跨区域复制](s3-controls.md#s3-7) 
+  [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8) 
+  [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9) 
+  [[S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-10) 
+  [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11) 
+  [ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限](s3-controls.md#s3-12) 
+  [[S3.13] S3 通用存储桶应具有生命周期配置](s3-controls.md#s3-13) 
+  [[S3.14] S3 通用存储桶应启用版本控制](s3-controls.md#s3-14) 
+  [[S3.15] S3 通用存储桶应启用对象锁定](s3-controls.md#s3-15) 
+  [[S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] S3 接入点已启用屏蔽公共访问权限设置](s3-controls.md#s3-19) 
+  [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20) 
+  [[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Secrets Manager 密钥应启用自动轮换](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] 移除未使用的 Secrets Manager 密钥](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Service Catalog 产品组合只能在 Amazon 组织内部共享](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] SNS 主题应使用以下方法进行静态加密 Amazon KMS](sns-controls.md#sns-1) 
+  [[SQS.1] 应对 Amazon SQS 队列进行静态加密](sqs-controls.md#sqs-1) 
+  [[SSM.1] Amazon EC2 实例应由以下人员管理 Amazon Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2) 
+  [[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] SSM 文档不应公开](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Transfer Family 连接器应启用日志记录](transfer-controls.md#transfer-3) 
+  [[WAF.1] 应启用 Amazon WAF 经典全局 Web ACL 日志记录](waf-controls.md#waf-1) 
+  [[WAF.2] Amazon WAF 经典区域规则应至少有一个条件](waf-controls.md#waf-2) 
+  [[WAF.3] Amazon WAF 经典区域规则组应至少有一条规则](waf-controls.md#waf-3) 
+  [[WAF.4] Amazon WAF 经典区域网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-4) 
+  [[WAF.6] Amazon WAF 经典全局规则应至少有一个条件](waf-controls.md#waf-6) 
+  [[WAF.7] Amazon WAF 经典全局规则组应至少有一条规则](waf-controls.md#waf-7) 
+  [[WAF.8] Amazon WAF 经典全球网站 ACLs 应至少有一个规则或规则组](waf-controls.md#waf-8) 
+  [[WAF.10] Amazon WAF Web ACLs 应至少有一个规则或规则组](waf-controls.md#waf-10) 
+  [[WAF.11] 应启 Amazon WAF 用 Web ACL 日志记录](waf-controls.md#waf-11) 
+  [[WAF.12] Amazon WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)