Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Reglas seleccionadas SCPs y Config
Reglas seleccionadas SCPs y de configuración para AMS Advanced.
Políticas de control de servicios (SCPs): las que SCPs se proporcionan se suman a las de AMS predeterminadas.
Puede utilizar estos controles de biblioteca junto con los predeterminados para cumplir requisitos de seguridad específicos.
Reglas de configuración: Como medida de referencia, AMS recomienda aplicar paquetes de conformidad (consulte los paquetes de conformidad en la AWS Config guía) además de las reglas de configuración de AMS predeterminadas (consulte AMS Artifacts para ver las reglas predeterminadas). Los paquetes de conformidad cubren la mayoría de los requisitos de conformidad y AWS los actualiza periódicamente.
Las reglas que se enumeran aquí se pueden usar para cubrir brechas específicas de cada caso de uso que no están cubiertas por los paquetes de conformidad
nota
A medida que las reglas y los paquetes de conformidad predeterminados de AMS se actualicen con el tiempo, es posible que veas duplicados de estas reglas.
AMS recomienda realizar una limpieza periódica de las Config Rules duplicadas en general.
En el caso de AMS Advanced, las reglas de configuración no deben utilizar correcciones automáticas (consulte Remediar recursos de AWS no conformes mediante reglas de AWS Config Rules) para evitar cambios. out-of-band
SCP-AMS-001: Restrinja la creación de EBS
Impida la creación de volúmenes de EBS si no tiene el cifrado activado.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:CreateVolume", "Resource": "*", "Effect": "Deny" }
SCP-AMS-002: Restringe el lanzamiento EC2
Impida el lanzamiento de una EC2 instancia si el volumen de EBS no está cifrado. Esto incluye denegar un EC2 lanzamiento sin cifrar, AMIs ya que este SCP también se aplica a los volúmenes raíz.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:volume/*", "Effect": "Deny" }
SCP-ADV-001: Restrinja los envíos de RFC
Impida que las funciones de AMS predeterminadas envíen automatizaciones específicas, RFCs como Crear VPC o Eliminar VPC. Esto resulta útil si desea aplicar permisos más detallados a sus funciones federadas.
Por ejemplo, es posible que desee que la opción predeterminada sea AWSManagedServicesChangeManagement Role capaz de enviar la mayoría de las disponibles, RFCs excepto las que permiten la creación y eliminación de una VPC, la creación de subredes adicionales, la desconexión de una cuenta de aplicación y la actualización o eliminación de los proveedores de identidad de SAML:
SCP-AMS-003: Restringe la creación de RDS en AMS EC2
Impida la creación de instancias de Amazon EC2 y RDS que no tengan etiquetas específicas y, al mismo tiempo, permita que el AMS Backup IAM rol predeterminado de AMS lo haga. Esto es necesario para la recuperación ante desastres o DR.
{ "Sid": "DenyRunInstanceWithNoOrganizationTag", "Effect": "Deny", "Action": [ "ec2:RunInstances", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:rds:*:*:db:*" ], "Condition": { "Null": { "aws:RequestTag/organization": "true" }, "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::<Account_Number>:role/ams-backup-iam-role" ] } } }
SCP-AMS-004: Restringe las subidas a S3
Impida la carga de objetos S3 no cifrados.
{ "Sid": "DenyUnencryptedS3Uploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotLike": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }, "Null": { "s3:x-amz-server-side-encryption": "false" } } } ] }
SCP-AMS-005: Restringe el acceso a la API y a la consola
Impida el acceso a la consola y a la API de AWS para las solicitudes procedentes de direcciones IP incorrectas conocidas como cliente determinado InfoSec.
SCP-AMS-006: Impide que la entidad de IAM elimine la cuenta de un miembro de la organización
Impedir que una AWS Identity and Access Management entidad elimine las cuentas de los miembros de la organización.
{ "Effect": "Deny", "Action": ["organizations:LeaveOrganization"], "Resource": ["*"] }
SCP-AMS-007: Impida compartir recursos con cuentas ajenas a su organización
Evite compartir recursos con cuentas externas ajenas a su AWS organización
{ "Effect": "Deny", "Action": [ "ram:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "ram:AllowsExternalPrincipals": "true" } } }, { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } }
SCP-AMS-008: Impida compartir con organizaciones o unidades organizativas () OUs
Impida compartir recursos con una and/or unidad organizativa de cuentas que esté en una organización.
{ "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}", "arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}" ] } } }
SCP-AMS-009: Impide que los usuarios acepten invitaciones para compartir recursos
Impida que las cuentas de los miembros acepten invitaciones AWS RAM para unirse a recursos compartidos. Esta API no admite ninguna condición y solo impide que se comparta contenido desde cuentas externas.
{ "Effect": "Deny", "Action": ["ram:AcceptResourceShareInvitation"], "Resource": ["*"] }
SCP-AMS-010: Impide las acciones de activación y desactivación de la región de la cuenta
Impida activar o desactivar nuevas AWS regiones para sus AWS cuentas.
{ "Effect": "Deny", "Action": [ "account:EnableRegion", "account:DisableRegion" ], "Resource": "*" }
SCP-AMS-011: Impida las acciones de modificación de la facturación
Impida modificaciones en la configuración de facturación y pago.
{ "Effect": "Deny", "Action": [ "aws-portal:ModifyBilling", "aws-portal:ModifyAccount", "aws-portal:ModifyPaymentMethods" ], "Resource": "*" }
SCP-AMS-012: Impide la eliminación o modificación de datos específicos CloudTrails
Impida modificaciones en AWS CloudTrail senderos específicos.
{ "Effect": "Deny", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:PutInsightSelectors", "cloudtrail:UpdateEventDataStore", "cloudtrail:UpdateTrail", "cloudtrail:StopLogging" ], "Resource": [ "arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}" ] }
SCP-AMS-013: Impide la desactivación del cifrado EBS predeterminado
Impida la desactivación del cifrado predeterminado de Amazon EBS.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
SCP-AMS-014: Impedir la creación de una VPC y una subred predeterminadas
Impida la creación de una Amazon VPC y subredes predeterminadas.
{ "Effect": "Deny", "Action": [ "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc" ], "Resource": "*" }
SCP-AMS-015: Impide la desactivación y la modificación GuardDuty
Evita que Amazon GuardDuty se modifique o desactive.
{ "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisableOrganizationAdminAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdateMalwareScanSettings", "guardduty:UpdateMemberDetectors", "guardduty:UpdateOrganizationConfiguration", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" }
SCP-AMS-016: Impide la actividad de los usuarios root
Impida que el usuario root realice cualquier acción.
{ "Action": "*", "Resource": "*", "Effect": "Deny", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } }
SCP-AMS-017: Impide la creación de claves de acceso para el usuario root
Impida la creación de claves de acceso para el usuario root.
{ "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": "arn:aws:iam::*:root" }
SCP-AMS-018: Impide deshabilitar el bloqueo de acceso público de la cuenta S3
Evite deshabilitar el bloqueo de acceso público de una cuenta Amazon S3. Esto evita que cualquier segmento de la cuenta pase a ser público.
{ "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "*" }
SCP-AMS-019: Impedir la desactivación de AWS Config o la modificación de las reglas de Config
Impida la desactivación o modificación AWS Config de las reglas.
{ "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteEvaluationResults", "config:StopConfigurationRecorder" ], "Resource": "*" }
SCP-AMS-020: Impide todas las acciones de IAM
Impida todas las acciones de IAM.
{ "Effect": "Deny", "Action": [ "iam:*" ], "Resource": "*" }
SCP-AMS-021: Impida la eliminación de registros, grupos y transmisiones CloudWatch
Evita que se eliminen grupos y transmisiones de Amazon CloudWatch Logs.
{ "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" }
SCP-AMS-022: Impide la eliminación de Glacier
Impida la eliminación de Amazon Glacier.
{ "Effect": "Deny", "Action": [ "glacier:DeleteArchive", "glacier:DeleteVault" ], "Resource": "*" }
SCP-AMS-023: Impida la eliminación del IAM Access Analyzer
Impida la eliminación del IAM Access Analyzer.
{ "Action": [ "access-analyzer:DeleteAnalyzer" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-024: Impedir modificaciones en el Security Hub
Impida la eliminación de AWS Security Hub.
{ "Action": [ "securityhub:DeleteInvitations", "securityhub:DisableSecurityHub", "securityhub:DisassociateFromMasterAccount", "securityhub:DeleteMembers", "securityhub:DisassociateMembers" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-025: Impedir la eliminación en Directory Service
Impida la eliminación de los recursos de AWS Directory Service.
{ "Action": [ "ds:DeleteDirectory", "ds:DeleteLogSubscription", "ds:DeleteSnapshot", "ds:DeleteTrust", "ds:DeregisterCertificate", "ds:DeregisterEventTopic", "ds:DisableLDAPS", "ds:DisableRadius", "ds:DisableSso", "ds:UnshareDirectory" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-026: Impida el uso de un servicio excluido
Impida el uso de servicios que figuran en la lista denegada.
nota
Sustituya service1 y por service2 sus nombres de servicio. Ejemplo access-analyzer oIAM.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"] }
SCP-AMS-027: Impedir el uso de un servicio excluido en regiones específicas
Impida el uso de servicios que figuran en la lista de personas excluidas en regiones específicas. AWS
nota
Sustituya service1 y por service2 los nombres de sus servicios. Ejemplo access-analyzer oIAM.
Sustituya region1 y region2 por sus nombres de servicio. Ejemplo us-west-2 ouse-east-1.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"], "Condition": { "StringEquals": { "aws:RequestedRegion": [ "region1", "region2" ] } } }
SCP-AMS-028: Impide que las etiquetas sean modificadas excepto por directores autorizados
Impida que cualquier usuario modifique las etiquetas, excepto los directores autorizados. Utilice etiquetas de autorización para autorizar a los directores. Las etiquetas de autorización deben estar asociadas a los recursos y a los directores. A solo user/role se considera autorizada si la etiqueta del recurso y la principal coinciden. Para obtener más información, consulte los siguientes recursos:
{ "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "ec2:ResourceTag/access-project": false } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "access-project" ] } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "aws:PrincipalTag/access-project": true } } }
SCP-AMS-029: Impedir que los usuarios eliminen los registros de flujo de Amazon VPC
Impida la eliminación de los registros de flujo de Amazon VPC.
{ "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream", "s3:DeleteBucket", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:PutLifecycleConfiguration", "firehose:DeleteDeliveryStream" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-030: Impedir compartir la subred de VPC con una cuenta que no sea la cuenta de red
Impida compartir las subredes de Amazon VPC con cuentas distintas de la cuenta de red.
nota
NETWORK_ACCOUNT_IDSustitúyalo por el ID de su cuenta de red.
{ "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": "NETWORK_ACCOUNT_ID" }, "StringEquals": { "ram:RequestedResourceType": "ec2:Subnet" } } }
SCP-AMS-031: Impida el lanzamiento de instancias con tipos de instancias prohibidos
Impida el lanzamiento de tipos de EC2 instancias de Amazon prohibidos.
nota
Sustituya instance_type1 y instance_type2 por los tipos de instancias que desee restringir, por ejemplo, t2.micro o por una cadena comodín, por ejemplo. *.nano
{ "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ForAnyValue:StringLike": { "ec2:InstanceType": [ "instance_type1", "instance_type2" ] } } }
SCP-AMS-032: Impide el lanzamiento de instancias sin IMDSv2
Evite las EC2 instancias de Amazon sin IMDSv2.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ]
SCP-AMS-033: Impide que se modifique una función específica de IAM
Impida que se modifiquen funciones de IAM específicas.
{ "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:TagRole", "iam:UntagRole", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
SCP-AMS-034: Impide la modificación de funciones específicas de IAM AssumeRolePolicy
Impida que se modifiquen las cuatro AssumeRolePolicy funciones de IAM especificadas.
{ "Action": [ "iam:UpdateAssumeRolePolicy" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
ConfigRule: Etiquetas obligatorias
Comprueba si EC2 las instancias tienen las etiquetas personalizadas que has necesitado. Además InfoSec, esto también es útil para la gestión de costes
ConfigRuleName: required-tags Description: >- A Config rule that checks whether EC2 instances have the required tags. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' InputParameters: tag1Key: COST_CENTER tag2Key: APP_ID Source: Owner: AWS SourceIdentifier: REQUIRED_TAGS
ConfigRule: La clave de acceso está girada
Compruebe que las claves de acceso se estén rotando dentro del período de tiempo especificado. Por lo general, se establece en 90 días según los requisitos de conformidad típicos.
ConfigRuleName: access-keys-rotated Description: >- A config rule that checks whether the active access keys are rotated within the number of days specified in maxAccessKeyAge. The rule is NON_COMPLIANT if the access keys have not been rotated for more than maxAccessKeyAge number of days. InputParameters: maxAccessKeyAge: '90' Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: clave de acceso raíz de IAM en AMS
Compruebe que la clave de acceso raíz no esté presente en la cuenta. En el caso de las cuentas AMS Advanced, se espera que sea compatible out-of-the-box.
ConfigRuleName: iam-root-access-key-check Description: >- A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist. Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: gestionado por SSM EC2
Compruebe que EC2s está siendo gestionado por SSM Systems Manager.
ConfigRuleName: ec2-instance-managed-by-systems-manager Description: >- A Config rule that checks whether the EC2 instances in the account are managed by AWS Systems Manager. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' - 'AWS::SSM::ManagedInstanceInventory' Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
ConfigRule: Usuario de IAM no utilizado en AMS
Compruebe si hay credenciales de usuario de IAM que no se hayan utilizado durante un período específico. Al igual que la comprobación de rotación de claves, esta suele tener un valor predeterminado de 90 días según los requisitos de conformidad típicos.
ConfigRuleName: iam-user-unused-credentials-check Description: >- A config rule that checks whether IAM users have passwords or active access keys that have not been used within the specified number of days provided. InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: registro de cubos en S3
Comprueba que el registro esté habilitado para los depósitos de S3 de la cuenta.
ConfigRuleName: s3-bucket-logging-enabled Description: >- A Config rule that checks whether logging is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
ConfigRule: Control de versiones de cubos de S3
Compruebe que el control de versiones y la eliminación de MFA (opcional) estén habilitados en todos los buckets de S3
ConfigRuleName: s3-bucket-versioning-enabled Description: >- A Config rule that checks whether versioning is enabled for S3 buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
ConfigRule: Acceso público a S3
Comprueba que la configuración de acceso público (ACL pública, política pública, buckets públicos) esté restringida en toda la cuenta
ConfigRuleName: s3-account-level-public-access-blocks Description: >- A Config rule that checks whether the required public access block settings are configured from account level. The rule is only NON_COMPLIANT when the fields set below do not match the corresponding fields in the configuration item. Scope: ComplianceResourceTypes: - 'AWS::S3::AccountPublicAccessBlock' InputParameters: IgnorePublicAcls: 'True' BlockPublicPolicy: 'True' BlockPublicAcls: 'True' RestrictPublicBuckets: 'True' Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
ConfigRule: Hallazgos no archivados GuardDuty
Compruebe si hay GuardDuty hallazgos no archivados que tengan una duración superior a la especificada. La duración predeterminada es de 30 días para los resultados de baja resolución, 7 días para los de media y de 1 día para los de alta.
ConfigRuleName: guardduty-non-archived-findings Description: >- A Config rule that checks whether the Amazon GuardDuty has findings that are non archived. The rule is NON_COMPLIANT if GuardDuty has non archived low/medium/high severity findings older than the specified number. InputParameters: daysLowSev: '30' daysMediumSev: '7' daysHighSev: '1' Source: Owner: AWS SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: Eliminación de CMK
Compruebe si hay claves maestras AWS Key Management Service personalizadas (CMKs) cuya eliminación esté programada (también conocida como pendiente). Esto es crucial, ya que el hecho de no darse cuenta de la eliminación de la CMK puede provocar que los datos sean irrecuperables
ConfigRuleName: kms-cmk-not-scheduled-for-deletion Description: >- A config rule that checks whether customer master keys (CMKs) are not scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is NON_COMPLIANT if CMKs are scheduled for deletion. Source: Owner: AWS SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: Rotación CMK
Comprueba que la rotación automática esté habilitada para cada CMK de la cuenta
ConfigRuleName: cmk-backing-key-rotation-enabled Description: >- A config rule that checks that key rotation is enabled for each customer master key (CMK). The rule is COMPLIANT, if the key rotation is enabled for specific key object. The rule is not applicable to CMKs that have imported key material. Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED MaximumExecutionFrequency: TwentyFour_Hours
