Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Límites regionales de los controles del CSPM de Security Hub
Algunos controles CSPM de AWS Security Hub no están disponibles en todos. Regiones de AWS Esta página indica qué controles no están disponibles en regiones específicas.
En la consola del CSPM de Security Hub, un control no aparece en la lista si no está disponible en la región en la que ha iniciado sesión. La excepción es una región de agregación. Si configuró una región de agregación e inicia sesión en esa región, la consola muestra los controles que están disponibles en la región de agregación o en una o más regiones vinculadas.
Regiones de AWS
Este de EE. UU. (Norte de Virginia)
Los siguientes controles no se admiten en la región este de EE. UU. (norte de Virginia).
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
Este de EE. UU. (Ohio)
Los siguientes controles no se admiten en la región este de EE. UU. (Ohio).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oeste de EE. UU. (Norte de California)
Los siguientes controles no se admiten en la región oeste de EE. UU. (norte de California).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Oeste de EE. UU. (Oregón)
Los siguientes controles no se admiten en la región oeste de EE. UU. (Oregón).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
África (Ciudad del Cabo)
Los siguientes controles no se admiten en la región África (Ciudad del Cabo).
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Hong Kong)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hong Kong).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Hyderabad)
Los siguientes controles no se admiten en la región Asia-Pacífico (Hyderabad).
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Yakarta)
Los siguientes controles no se admiten en la región Asia-Pacífico (Yakarta).
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Malasia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Malasia).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Melbourne)
Los siguientes controles no se admiten en la región Asia-Pacífico (Melbourne).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Mumbai)
Los siguientes controles no se admiten en la región Asia-Pacífico (Bombay).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Nueva Zelanda)
Los siguientes controles no se admiten en la región Asia-Pacífico (Nueva Zelanda).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
-
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.11] El registro de ACL AWS WAF web debe estar habilitado
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Osaka)
Los siguientes controles no se admiten en la región Asia-Pacífico (Osaka).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Seúl)
Los siguientes controles no se admiten en la región Asia-Pacífico (Seúl).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Singapur)
Los siguientes controles no se admiten en la región Asia-Pacífico (Singapur).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Sídney)
Los siguientes controles no se admiten en la región Asia-Pacífico (Sídney).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Asia-Pacífico (Taipéi)
Los siguientes controles no se admiten en la región Asia-Pacífico (Taipéi).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
-
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas
-
[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.15] Las definiciones de tareas de ECS deben etiquetarse
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
-
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.11] El registro de ACL AWS WAF web debe estar habilitado
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Tailandia)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tailandia).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.11] El registro de ACL AWS WAF web debe estar habilitado
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Asia-Pacífico (Tokio)
Los siguientes controles no se admiten en la región Asia-Pacífico (Tokio).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Canadá (centro)
Los siguientes controles no se admiten en la región Canadá (centro).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Oeste de Canadá (Calgary)
Los siguientes controles no se admiten en la región Oeste de Canadá (Calgary).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
China (Pekín)
Los siguientes controles no se admiten en la región China (Pekín).
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
-
La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
China (Ningxia)
Los siguientes controles no se admiten en la región China (Ningxia).
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Europa (Fráncfort)
Los siguientes controles no se admiten en la región Europa (Fráncfort).
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Europa (Irlanda)
Los siguientes controles no se admiten en la región Europa (Irlanda).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Europa (Londres)
Los siguientes controles no se admiten en la región Europa (Londres).
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Europa (Milán)
Los siguientes controles no se admiten en la región Europa (Milán).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (París)
Los siguientes controles no se admiten en la región Europa (París).
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (España)
Los siguientes controles no se admiten en la región Europa (España).
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (Estocolmo)
Los siguientes controles no se admiten en la región Europa (Estocolmo).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Europa (Zúrich)
Los siguientes controles no se admiten en la región Europa (Zúrich).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Israel (Tel Aviv)
Los siguientes controles no se admiten en la región Israel (Tel Aviv).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
México (centro)
Los siguientes controles no se admiten en la región México (centro).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
-
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DataSync.1] DataSync las tareas deberían tener el registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.171] Las conexiones EC2 VPN deben tener el registro activado
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas
-
[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
-
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Las instancias de RDS [RDS.18] deben implementarse en una VPC
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.38] Las instancias de bases de datos RDS para PostgreSQL se deben cifrar en tránsito
-
[RDS.39] Las instancias de bases de datos RDS para MySQL se deben cifrar en tránsito
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
-
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.11] El registro de ACL AWS WAF web debe estar habilitado
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Middle East (Bahrain)
Los siguientes controles no se admiten en la región Medio Oriente (Baréin).
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
Medio Oriente (EAU)
Los siguientes controles no se admiten en la región Medio Oriente (EAU).
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[EC2.180] las interfaces EC2 de red deberían tener habilitada source/destination la verificación
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
-
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
América del Sur (São Paulo)
Los siguientes controles no se admiten en la región América del Sur (São Paulo).
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT CoreLas dimensiones de [IoT.3] deben estar etiquetadas
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
AWSGovCloud (Este de EE. UU.)
Los siguientes controles no se admiten en la región AWS GovCloud (EE. UU. Este).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
-
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
-
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo
AWSGovCloud (EEUU-Oeste)
Los siguientes controles no se admiten en la región AWS GovCloud (EE. UU. Oeste).
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo
-
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse
-
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
-
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
-
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
-
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
-
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
-
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
-
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito
-
[MSK.5] Los conectores de MSK deben tener el registro habilitado
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
-
[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público
-
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
-
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
-
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
