Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kuratierte Regeln SCPs und Konfigurationsregeln
Kuratierte Regeln SCPs und Konfigurationsregeln für AMS Advanced.
Richtlinien zur Dienststeuerung (SCPs): Die bereitgestellten Richtlinien SCPs gelten zusätzlich zu den AMS-Standardrichtlinien.
Sie können diese Bibliothekssteuerungen zusammen mit den Standardsteuerungen verwenden, um bestimmte Sicherheitsanforderungen zu erfüllen.
Konfigurationsregeln: Als Basismaßnahme empfiehlt AMS, zusätzlich zu den standardmäßigen AMS-Konfigurationsregeln (Standardregeln unter AMS-Artefakte) Conformance Packs (siehe Conformance Packs im AWS Config Handbuch) anzuwenden. Die Conformance Packs decken einen Großteil der Compliance-Anforderungen ab und werden von AWS regelmäßig aktualisiert.
Die hier aufgeführten Regeln können verwendet werden, um anwendungsfallspezifische Lücken zu schließen, die nicht durch Conformance Packs abgedeckt werden
Anmerkung
Da die AMS-Standardregeln und Konformitätspakete im Laufe der Zeit aktualisiert werden, werden Sie möglicherweise Duplikate dieser Regeln sehen.
AMS empfiehlt generell, doppelte Konfigurationsregeln regelmäßig zu bereinigen.
Für AMS Advanced sollten Config Rules keine automatischen Korrekturen verwenden (siehe Behebung nicht konformer AWS-Ressourcen durch AWS-Konfigurationsregeln), um Änderungen zu vermeiden. out-of-band
SCP-AMS-001: Beschränken Sie die EBS-Erstellung
Verhindern Sie die Erstellung von EBS-Volumes, wenn Sie die Verschlüsselung nicht aktiviert haben.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:CreateVolume", "Resource": "*", "Effect": "Deny" }
SCP-AMS-002: Schränkt den Start ein EC2
Verhindern Sie den Start einer EC2 Instance, wenn das EBS-Volume unverschlüsselt ist. Dazu gehört auch, dass ein unverschlüsselter EC2 Start verweigert wird, AMIs da dieser SCP auch für Root-Volumes gilt.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:volume/*", "Effect": "Deny" }
SCP-ADV-001: RFC-Einreichungen einschränken
Schränken Sie die Übermittlung bestimmter automatisierter Funktionen RFCs wie Create VPC oder Delete VPC ein. Dies ist hilfreich, wenn Sie detailliertere Berechtigungen auf Ihre Verbundrollen anwenden möchten.
Sie möchten beispielsweise, dass standardmäßig AWSManagedServicesChangeManagement Role die meisten verfügbaren Daten übermittelt werden können, RFCs mit Ausnahme derjenigen, die das Erstellen und Löschen einer VPC, das Erstellen zusätzlicher Subnetze, das Offboarding eines Anwendungskontos, das Aktualisieren oder Löschen von SAML-Identitätsanbietern ermöglichen:
SCP-AMS-003: Schränkt die Erstellung von RDS in AMS ein EC2
Verhindern Sie die Erstellung von Amazon EC2 - und RDS-Instances, die keine spezifischen Tags haben, und lassen Sie dies gleichzeitig der AMS Backup IAM AMS-Standardrolle zu. Dies ist für Disaster Recovery oder DR erforderlich.
{ "Sid": "DenyRunInstanceWithNoOrganizationTag", "Effect": "Deny", "Action": [ "ec2:RunInstances", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:rds:*:*:db:*" ], "Condition": { "Null": { "aws:RequestTag/organization": "true" }, "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::<Account_Number>:role/ams-backup-iam-role" ] } } }
SCP-AMS-004: S3-Uploads einschränken
Verhindert das Hochladen unverschlüsselter S3-Objekte.
{ "Sid": "DenyUnencryptedS3Uploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotLike": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }, "Null": { "s3:x-amz-server-side-encryption": "false" } } } ] }
SCP-AMS-005: Beschränken Sie den API- und Konsolenzugriff
Verhindern Sie als Kunde den Zugriff auf AWS-Konsole und API für Anfragen, die von bekannten schlechten IP-Adressen kommen InfoSec.
SCP-AMS-006: Verhindert, dass die IAM-Entität das Mitgliedskonto aus der Organisation entfernt
Verhindern Sie, dass eine AWS Identity and Access Management Entität Mitgliedskonten aus der Organisation entfernt.
{ "Effect": "Deny", "Action": ["organizations:LeaveOrganization"], "Resource": ["*"] }
SCP-AMS-007: Verhindern Sie die gemeinsame Nutzung von Ressourcen mit Konten außerhalb Ihrer Organisation
Verhindern Sie die gemeinsame Nutzung von Ressourcen mit externen Konten außerhalb Ihrer AWS Organisation
{ "Effect": "Deny", "Action": [ "ram:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "ram:AllowsExternalPrincipals": "true" } } }, { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } }
SCP-AMS-008: Verhindern Sie die gemeinsame Nutzung mit Organisationen oder Organisationseinheiten () OUs
Verhindern Sie die gemeinsame Nutzung von Ressourcen mit einer and/or Account-Organisationseinheit, die sich in einer Organisation befindet.
{ "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}", "arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}" ] } } }
SCP-AMS-009: Hindert Benutzer daran, Einladungen zur gemeinsamen Nutzung von Ressourcen anzunehmen
Verhindern Sie, dass Mitgliedskonten Einladungen AWS RAM zum Beitritt zu Resource Shares annehmen. Diese API unterstützt keine Bedingungen und verhindert, dass Inhalte nur von externen Konten geteilt werden.
{ "Effect": "Deny", "Action": ["ram:AcceptResourceShareInvitation"], "Resource": ["*"] }
SCP-AMS-010: Aktionen zur Aktivierung und Deaktivierung der Kontoregion verhindern
Verhindern Sie die Aktivierung oder Deaktivierung neuer AWS Regionen für Ihre AWS Konten.
{ "Effect": "Deny", "Action": [ "account:EnableRegion", "account:DisableRegion" ], "Resource": "*" }
SCP-AMS-011: Aktionen zur Änderung der Abrechnung verhindern
Vermeiden Sie Änderungen an der Abrechnungs- und Zahlungskonfiguration.
{ "Effect": "Deny", "Action": [ "aws-portal:ModifyBilling", "aws-portal:ModifyAccount", "aws-portal:ModifyPaymentMethods" ], "Resource": "*" }
SCP-AMS-012: Verhindert das Löschen oder Ändern bestimmter CloudTrails
Verhindern Sie Änderungen an bestimmten AWS CloudTrail Pfaden.
{ "Effect": "Deny", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:PutInsightSelectors", "cloudtrail:UpdateEventDataStore", "cloudtrail:UpdateTrail", "cloudtrail:StopLogging" ], "Resource": [ "arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}" ] }
SCP-AMS-013: Verhindert die Deaktivierung der Standard-EBS-Verschlüsselung
Verhindern Sie die Deaktivierung der standardmäßigen Amazon EBS-Verschlüsselung.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
SCP-AMS-014: Das Erstellen einer Standard-VPC und eines Subnetzes verhindern
Verhindern Sie die Erstellung einer standardmäßigen Amazon-VPC und von Subnetzen.
{ "Effect": "Deny", "Action": [ "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc" ], "Resource": "*" }
SCP-AMS-015: Verhindert das Deaktivieren und Ändern GuardDuty
Verhindern Sie, dass Amazon GuardDuty geändert oder deaktiviert wird.
{ "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisableOrganizationAdminAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdateMalwareScanSettings", "guardduty:UpdateMemberDetectors", "guardduty:UpdateOrganizationConfiguration", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" }
SCP-AMS-016: Root-Benutzeraktivitäten verhindern
Verhindern Sie, dass der Root-Benutzer eine Aktion ausführt.
{ "Action": "*", "Resource": "*", "Effect": "Deny", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } }
SCP-AMS-017: Verhindert die Erstellung von Zugriffsschlüsseln für den Root-Benutzer
Verhindern Sie die Erstellung von Zugriffsschlüsseln für den Root-Benutzer.
{ "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": "arn:aws:iam::*:root" }
SCP-AMS-018: Verhindert die Deaktivierung der Sperrung des öffentlichen Zugriffs auf das S3-Konto
Verhindern Sie, dass der öffentliche Zugriff auf ein Amazon S3 S3-Konto gesperrt wird. Dadurch wird verhindert, dass ein Bucket im Konto veröffentlicht wird.
{ "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "*" }
SCP-AMS-019: Verhindern, dass AWS Config deaktiviert oder Config-Regeln geändert werden
Verhindern Sie das Deaktivieren oder Ändern von AWS Config Regeln.
{ "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteEvaluationResults", "config:StopConfigurationRecorder" ], "Resource": "*" }
SCP-AMS-020: Alle IAM-Aktionen verhindern
Alle IAM-Aktionen verhindern.
{ "Effect": "Deny", "Action": [ "iam:*" ], "Resource": "*" }
SCP-AMS-021: Verhindert das Löschen von Log-Gruppen und Streams CloudWatch
Verhindern Sie das Löschen von Amazon CloudWatch Logs-Gruppen und -Streams.
{ "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" }
SCP-AMS-022: Das Löschen von Glacier verhindern
Verhindern Sie das Löschen von Amazon Glacier.
{ "Effect": "Deny", "Action": [ "glacier:DeleteArchive", "glacier:DeleteVault" ], "Resource": "*" }
SCP-AMS-023: Das Löschen von IAM Access Analyzer verhindern
Verhindern Sie das Löschen von IAM Access Analyzer.
{ "Action": [ "access-analyzer:DeleteAnalyzer" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-024: Änderungen am Security Hub verhindern
Verhindern Sie das Löschen von AWS Security Hub.
{ "Action": [ "securityhub:DeleteInvitations", "securityhub:DisableSecurityHub", "securityhub:DisassociateFromMasterAccount", "securityhub:DeleteMembers", "securityhub:DisassociateMembers" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-025: Löschen unter Directory Service verhindern
Verhindern Sie das Löschen von Ressourcen unter Directory Service.
{ "Action": [ "ds:DeleteDirectory", "ds:DeleteLogSubscription", "ds:DeleteSnapshot", "ds:DeleteTrust", "ds:DeregisterCertificate", "ds:DeregisterEventTopic", "ds:DisableLDAPS", "ds:DisableRadius", "ds:DisableSso", "ds:UnshareDirectory" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-026: Die Nutzung eines Dienstes auf der Denylist verhindern
Verhindern Sie die Nutzung von Diensten, die auf der Liste stehen.
Anmerkung
Ersetzen Sie service1 und service2 durch Ihre Dienstnamen. Beispiel access-analyzer oderIAM.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"] }
SCP-AMS-027: Verhindert die Nutzung von Diensten, die auf der Liste stehen, in bestimmten Regionen
Verhindern Sie die Nutzung von Diensten, die auf der Liste stehen, in bestimmten Regionen. AWS
Anmerkung
Ersetzen Sie service1 und service2 durch Ihre Dienstnamen. Beispiel access-analyzer oderIAM.
Ersetzen Sie region1 und region2 durch Ihre Dienstnamen. Beispiel us-west-2 oderuse-east-1.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"], "Condition": { "StringEquals": { "aws:RequestedRegion": [ "region1", "region2" ] } } }
SCP-AMS-028: Verhindert, dass Tags geändert werden, außer durch autorisierte Principals
Verhindern Sie, dass Tag-Änderungen durch alle Benutzer außer den autorisierten Hauptbenutzern vorgenommen werden. Verwenden Sie Autorisierungs-Tags, um Principals zu autorisieren. Autorisierungs-Tags müssen Ressourcen und Prinzipalen zugeordnet sein. A user/role gilt nur dann als autorisiert, wenn das Tag sowohl auf der Ressource als auch auf dem Prinzipal übereinstimmt. Weitere Informationen finden Sie in den folgenden Ressourcen:
{ "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "ec2:ResourceTag/access-project": false } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "access-project" ] } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "aws:PrincipalTag/access-project": true } } }
SCP-AMS-029: Benutzer daran hindern, Amazon VPC Flow Logs zu löschen
Verhindern Sie das Löschen von Amazon VPC Flow Logs.
{ "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream", "s3:DeleteBucket", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:PutLifecycleConfiguration", "firehose:DeleteDeliveryStream" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-030: Die gemeinsame Nutzung des VPC-Subnetzes mit einem anderen Konto als dem Netzwerkkonto verhindern
Vermeiden Sie die gemeinsame Nutzung von Amazon VPC-Subnetzen mit anderen Konten als dem Netzwerkkonto.
Anmerkung
Ersetzen Sie es NETWORK_ACCOUNT_ID durch Ihre Netzwerkkonto-ID.
{ "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": "NETWORK_ACCOUNT_ID" }, "StringEquals": { "ram:RequestedResourceType": "ec2:Subnet" } } }
SCP-AMS-031: Verhindert das Starten von Instances mit verbotenen Instanztypen
Verhindern Sie das Starten verbotener EC2 Amazon-Instance-Typen.
Anmerkung
Ersetzen Sie instance_type1 und instance_type2 durch die Instance-Typen, die Sie einschränken möchten, z. B. t2.micro oder durch eine Platzhalterzeichenfolge wie. *.nano
{ "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ForAnyValue:StringLike": { "ec2:InstanceType": [ "instance_type1", "instance_type2" ] } } }
SCP-AMS-032: Verhindert das Starten von Instanzen ohne IMDSv2
Vermeiden Sie EC2 Amazon-Instances ohne IMDSv2.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ]
SCP-AMS-033: Verhindert Änderungen an einer bestimmten IAM-Rolle
Verhindern Sie Änderungen an bestimmten IAM-Rollen.
{ "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:TagRole", "iam:UntagRole", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
SCP-AMS-034: Verhindert Änderungen an bestimmten IAM-Rollen AssumeRolePolicy
Verhindert Änderungen an den vier AssumeRolePolicy angegebenen IAM-Rollen.
{ "Action": [ "iam:UpdateAssumeRolePolicy" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
ConfigRule: Erforderliche Tags
Prüfen Sie, ob EC2 Instanzen über benutzerdefinierte Tags verfügen, die Sie benötigt haben. Darüber hinaus ist dies auch nützlich für Ihr Kostenmanagement InfoSec
ConfigRuleName: required-tags Description: >- A Config rule that checks whether EC2 instances have the required tags. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' InputParameters: tag1Key: COST_CENTER tag2Key: APP_ID Source: Owner: AWS SourceIdentifier: REQUIRED_TAGS
ConfigRule: Zugriffstaste gedreht
Vergewissern Sie sich, dass die Zugriffsschlüssel innerhalb des angegebenen Zeitraums rotiert werden. In der Regel sind dies 90 Tage gemäß den typischen Compliance-Anforderungen.
ConfigRuleName: access-keys-rotated Description: >- A config rule that checks whether the active access keys are rotated within the number of days specified in maxAccessKeyAge. The rule is NON_COMPLIANT if the access keys have not been rotated for more than maxAccessKeyAge number of days. InputParameters: maxAccessKeyAge: '90' Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: IAM-Root-Zugriffsschlüssel in AMS
Stellen Sie sicher, dass in einem Konto kein Root-Zugriffsschlüssel vorhanden ist. Bei AMS Advanced-Konten wird davon ausgegangen, dass dies konform ist out-of-the-box.
ConfigRuleName: iam-root-access-key-check Description: >- A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist. Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: SSM verwaltet EC2
Vergewissern Sie EC2s sich, dass Sie von SSM Systems Manager verwaltet werden.
ConfigRuleName: ec2-instance-managed-by-systems-manager Description: >- A Config rule that checks whether the EC2 instances in the account are managed by AWS Systems Manager. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' - 'AWS::SSM::ManagedInstanceInventory' Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
ConfigRule: Ungenutzter IAM-Benutzer in AMS
Sucht nach IAM-Benutzeranmeldedaten, die für einen bestimmten Zeitraum nicht verwendet wurden. Wie bei der Schlüsselrotationsprüfung werden auch hier in der Regel 90 Tage für typische Compliance-Anforderungen vorgegeben.
ConfigRuleName: iam-user-unused-credentials-check Description: >- A config rule that checks whether IAM users have passwords or active access keys that have not been used within the specified number of days provided. InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: S3-Bucket-Protokollierung
Vergewissern Sie sich, dass die Protokollierung für S3-Buckets im Konto aktiviert wurde.
ConfigRuleName: s3-bucket-logging-enabled Description: >- A Config rule that checks whether logging is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
ConfigRule: Versionierung von S3-Buckets
Vergewissern Sie sich, dass Versionierung und MFA-Delete (optional) für alle S3-Buckets aktiviert sind
ConfigRuleName: s3-bucket-versioning-enabled Description: >- A Config rule that checks whether versioning is enabled for S3 buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
ConfigRule: Öffentlicher S3-Zugriff
Vergewissern Sie sich, dass die Einstellungen für den öffentlichen Zugriff (Public ACL, Public Policy, Public Buckets) für das gesamte Konto eingeschränkt sind
ConfigRuleName: s3-account-level-public-access-blocks Description: >- A Config rule that checks whether the required public access block settings are configured from account level. The rule is only NON_COMPLIANT when the fields set below do not match the corresponding fields in the configuration item. Scope: ComplianceResourceTypes: - 'AWS::S3::AccountPublicAccessBlock' InputParameters: IgnorePublicAcls: 'True' BlockPublicPolicy: 'True' BlockPublicAcls: 'True' RestrictPublicBuckets: 'True' Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
ConfigRule: Nicht archivierte Ergebnisse GuardDuty
Suchen Sie nach nicht archivierten GuardDuty Ergebnissen, die älter als die angegebene Dauer sind. Die Standarddauer beträgt 30 Tage für Befunde mit niedriger Geschwindigkeit, 7 Tage für Ergebnisse mit mittlerer Geschwindigkeit und 1 Tag für Ergebnisse mit hoher Geschwindigkeit.
ConfigRuleName: guardduty-non-archived-findings Description: >- A Config rule that checks whether the Amazon GuardDuty has findings that are non archived. The rule is NON_COMPLIANT if GuardDuty has non archived low/medium/high severity findings older than the specified number. InputParameters: daysLowSev: '30' daysMediumSev: '7' daysHighSev: '1' Source: Owner: AWS SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: CMK-Löschung
Suchen Sie nach AWS Key Management Service benutzerdefinierten Hauptschlüsseln (CMKs), deren Löschung geplant ist (auch bekannt als ausstehend). Dies ist von entscheidender Bedeutung, da Unwissenheit über das Löschen von CMK dazu führen kann, dass Daten nicht wiederhergestellt werden können
ConfigRuleName: kms-cmk-not-scheduled-for-deletion Description: >- A config rule that checks whether customer master keys (CMKs) are not scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is NON_COMPLIANT if CMKs are scheduled for deletion. Source: Owner: AWS SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: CMK-Rotation
Vergewissern Sie sich, dass die automatische Rotation für jeden CMK im Konto aktiviert ist
ConfigRuleName: cmk-backing-key-rotation-enabled Description: >- A config rule that checks that key rotation is enabled for each customer master key (CMK). The rule is COMPLIANT, if the key rotation is enabled for specific key object. The rule is not applicable to CMKs that have imported key material. Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED MaximumExecutionFrequency: TwentyFour_Hours
