Límites regionales de los controles CSPM de Security Hub

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0.0.0/0 o: :/0 al puerto 3389

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[ELB.2] Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[RDS.1] La instantánea de RDS debe ser privada

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas

[AppConfig.2] los perfiles de AWS AppConfig configuración deben estar etiquetados

[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] Los certificados DMS deben estar etiquetados

[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0.0.0/0 o: :/0 al puerto 3389

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse

[EC2.40] Las puertas de enlace de EC2 NAT deben etiquetarse

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

[EC251] Los puntos de conexión EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben usar el servicio de metadatos de instancias versión 2 () IMDSv2

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.5] SageMaker los modelos deberían bloquear el tráfico entrante

[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas

[SageMaker.7] SageMaker las imágenes deben estar etiquetadas

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro

[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas

El registro de ACL AWS WAF web de [WAF.11] debe estar habilitado

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] Los certificados DMS deben estar etiquetados

[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0.0.0/0 o: :/0 al puerto 3389

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC251] Los puntos de conexión EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas

[AppConfig.2] los perfiles de AWS AppConfig configuración deben estar etiquetados

[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados

[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo

[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Athena.2] Los catálogos de datos de Athena deben estar etiquetados

[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados

[Backup.3] las AWS Backup bóvedas deben estar etiquetadas

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados

[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas

[Batch.2] Las políticas de programación de lotes deben estar etiquetadas

[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse

[Batch.4] Las propiedades de los recursos de cómputo en los entornos de cómputo por lotes gestionados deben etiquetarse

[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3

[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys

[CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo

[DataSync.1] DataSync las tareas deberían tener el registro activado

[DataSync.2] DataSync las tareas deben estar etiquetadas

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] Los certificados DMS deben estar etiquetados

[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC2.33] Las conexiones de puerta de enlace de EC2 tránsito deben etiquetarse

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse

[EC2.40] Las puertas de enlace de EC2 NAT deben etiquetarse

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

[EC251] Los puntos de conexión EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.52] Las EC2 puertas de enlace de

[EC2.53] Los grupos EC2 de seguridad no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

[EC2.54] Los grupos EC2 de seguridad no deberían permitir la entrada de: :/0 a los puertos de administración de servidores remotos

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben usar el servicio de metadatos de instancias versión 2 () IMDSv2

[EC2.171] Las conexiones EC2 VPN deben tener el registro habilitado

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados

[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas

[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión

[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios

[ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben usar Container Insights

[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas

[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red host

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EFS.5] Los puntos de acceso de EFS deben etiquetarse

[EFS.6] Los destinos de montaje de EFS no deben estar asociados a una subred pública

[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas

[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.6] Los clústeres de EKS deben etiquetarse

[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse

[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría

[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad

[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.9] Los dominios de Elasticsearch deben estar etiquetados

[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

[GuardDuty.5] La supervisión de registros de auditoría de GuardDuty EKS debe estar habilitada

[GuardDuty.6] La protección de GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La supervisión en tiempo de ejecución de GuardDuty EKS debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La protección de GuardDuty RDS debe estar habilitada

[GuardDuty.10] La protección de GuardDuty S3 debe estar habilitada

[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada

[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada

[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas de usuarios de IAM deben tener configuraciones seguras

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios

[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los NetworkFirewall firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de eliminación

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de cambio de subred

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Las instancias de RDS [RDS.18] deben implementarse en una VPC

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito

[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito

[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch

[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse en tránsito

[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch

[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.11] Los clústeres de Redshift deben etiquetarse

[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad

[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones

[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1

[SageMaker.5] SageMaker los modelos deberían bloquear el tráfico entrante

[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas

[SageMaker.7] SageMaker las imágenes deben estar etiquetadas

[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización

[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[SSM.5] Los documentos SSM deben estar etiquetados

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas

Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados

[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión

[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro

[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados

[Transfer.5] Los certificados de Transfer Family deben estar etiquetados

[Transfer.6] Los conectores Transfer Family deben estar etiquetados

[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas de [WAF.2] Regionales AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla

La web de [WAF.4] Regionales AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas

AWS WAF Las reglas de [WAF.12] deben tener habilitadas las métricas CloudWatch

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas

[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse

[Batch.4] Las propiedades de los recursos de cómputo en los entornos de cómputo por lotes gestionados deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] Los certificados DMS deben estar etiquetados

[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0.0.0/0 o: :/0 al puerto 3389

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse

[EC2.40] Las puertas de enlace de EC2 NAT deben etiquetarse

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben usar el servicio de metadatos de instancias versión 2 () IMDSv2

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.10] Las políticas de contraseñas de usuarios de IAM deben tener configuraciones seguras

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

[RDS.1] La instantánea de RDS debe ser privada

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.5] SageMaker los modelos deberían bloquear el tráfico entrante

[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas

[SageMaker.7] SageMaker las imágenes deben estar etiquetadas

[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro

[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

El registro de ACL AWS WAF web de [WAF.11] debe estar habilitado

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0.0.0/0 o: :/0 al puerto 3389

[EC220] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ELB.2] Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS

[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos

[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada

[ELB.8] Los equilibradores de carga clásicos con agentes de escucha SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config

[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SSM.2] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas

El registro de ACL AWS WAF web de [WAF.11] debe estar habilitado

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[ACM.3] Los certificados ACM deben estar etiquetados

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

[APIGateway.1] El registro de ejecución de WebSocket REST y API de API Gateway debe estar habilitado

[APIGateway.5] Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas

[AppConfig.2] los perfiles de AWS AppConfig configuración deben estar etiquetados

[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados

[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo

[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Athena.2] Los catálogos de datos de Athena deben estar etiquetados

[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon

[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados

[Backup.3] las AWS Backup bóvedas deben estar etiquetadas

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados

[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas

[Batch.2] Las políticas de programación de lotes deben estar etiquetadas

[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse

[Batch.4] Las propiedades de los recursos de cómputo en los entornos de cómputo por lotes gestionados deben etiquetarse

[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3

[CloudTrail.9] los registros de CloudTrail seguimiento deben etiquetarse

[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys

[CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo

[DataSync.1] DataSync las tareas deberían tener el registro activado

[DataSync.2] DataSync las tareas deben estar etiquetadas

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.2] Los certificados DMS deben estar etiquetados

[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC2.33] Las conexiones de puerta de enlace de EC2 tránsito deben etiquetarse

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse

[EC2.35] Las interfaces EC2 de red deben etiquetarse

[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas

[EC2.37] Las direcciones IP EC2 elásticas deben etiquetarse

[EC2.38] EC2 las instancias deben estar etiquetadas

[EC2.39] Las puertas de enlace de EC2 Internet deben etiquetarse

[EC2.40] Las puertas de enlace de EC2 NAT deben etiquetarse

La EC2 red [EC2.41] ACLs debe estar etiquetada

[EC2.42] Las tablas de EC2 enrutamiento deben estar etiquetadas

[EC2.43] los grupos EC2 de seguridad deben estar etiquetados

EC2 Las subredes [EC2.44] deben estar etiquetadas

[EC2.45] los EC2 volúmenes deben estar etiquetados

[EC2.46] Amazon VPCs debería estar etiquetado

[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse

[EC2.50] Las puertas de enlace de EC2 VPN deben etiquetarse

[EC251] Los puntos de conexión EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.52] Las EC2 puertas de enlace de

[EC2.53] Los grupos EC2 de seguridad no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

[EC2.54] Los grupos EC2 de seguridad no deberían permitir la entrada de: :/0 a los puertos de administración de servidores remotos

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben usar el servicio de metadatos de instancias versión 2 () IMDSv2

[EC2.171] Las conexiones EC2 VPN deben tener el registro habilitado

[EC2.172] La configuración del acceso público al bloqueo de EC2 VPC debería bloquear el tráfico de las puertas de enlace de Internet

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados

[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas

[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys

[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión

[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios

[ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben usar Container Insights

[ECS.13] Los servicios de ECS deben estar etiquetados

[ECS.14] Los clústeres de ECS deben etiquetarse

[ECS.15] Las definiciones de tareas de ECS deben etiquetarse

[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas

[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red host

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EFS.5] Los puntos de acceso de EFS deben etiquetarse

[EFS.6] Los destinos de montaje de EFS no deben estar asociados a una subred pública

[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas

[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.6] Los clústeres de EKS deben etiquetarse

[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse

[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría

[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones

[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad

[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente

[ES.9] Los dominios de Elasticsearch deben estar etiquetados

[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[Glue.1] los AWS Glue trabajos deben estar etiquetados

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue

[GuardDuty.1] GuardDuty debería estar activado

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

[GuardDuty.5] La supervisión de registros de auditoría de GuardDuty EKS debe estar habilitada

[GuardDuty.6] La protección de GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La supervisión en tiempo de ejecución de GuardDuty EKS debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La protección de GuardDuty RDS debe estar habilitada

[GuardDuty.10] La protección de GuardDuty S3 debe estar habilitada

[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada

[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada

[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas de usuarios de IAM deben tener configuraciones seguras

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.3] no AWS KMS keys debe eliminarse involuntariamente

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad

[Lambda.6] Las funciones de Lambda deben estar etiquetadas

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios

[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los NetworkFirewall firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

Los NetworkFirewall firewalls de Network Firewall se deben etiquetar

[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de eliminación

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de cambio de subred

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.16] deben configurarse para copiar etiquetas en las instantáneas

Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas

Las instancias de RDS [RDS.18] deben implementarse en una VPC

Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos

Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos

Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos

Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos

Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse

[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse

[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse

[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito

[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito

[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch

[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse en tránsito

[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch

[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.11] Los clústeres de Redshift deben etiquetarse

[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse

[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse

[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad

[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones

[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1

[SageMaker.5] SageMaker los modelos deberían bloquear el tráfico entrante

[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas

[SageMaker.7] SageMaker las imágenes deben estar etiquetadas

[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización

[SNS.3] Los temas de SNS deben etiquetarse

[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[SSM.5] Los documentos SSM deben estar etiquetados

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas

Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados

[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión

[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro

[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados

[Transfer.5] Los certificados de Transfer Family deben estar etiquetados

[Transfer.6] Los conectores Transfer Family deben estar etiquetados

[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas de [WAF.2] Regionales AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla

La web de [WAF.4] Regionales AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas

El registro de ACL AWS WAF web de [WAF.11] debe estar habilitado

AWS WAF Las reglas de [WAF.12] deben tener habilitadas las métricas CloudWatch

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas

[AppConfig.2] los perfiles de AWS AppConfig configuración deben estar etiquetados

[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados

[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo

[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas

[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse

[Batch.4] Las propiedades de los recursos de cómputo en los entornos de cómputo por lotes gestionados deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3

[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys

[CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo

[DataSync.1] DataSync las tareas deberían tener el registro activado

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.2] Los certificados DMS deben estar etiquetados

[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDb.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC2.33] Las conexiones de puerta de enlace de EC2 tránsito deben etiquetarse

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse

[EC2.40] Las puertas de enlace de EC2 NAT deben etiquetarse

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

[EC251] Los puntos de conexión EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.53] Los grupos EC2 de seguridad no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

[EC2.54] Los grupos EC2 de seguridad no deberían permitir la entrada de: :/0 a los puertos de administración de servidores remotos

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben usar el servicio de metadatos de instancias versión 2 () IMDSv2

[EC2.171] Las conexiones EC2 VPN deben tener el registro habilitado

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión

[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios

[ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben usar Container Insights

[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas

[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red host

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EFS.6] Los destinos de montaje de EFS no deben estar asociados a una subred pública

[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas

[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.6] Los clústeres de EKS deben etiquetarse

[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse

[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría

[ELB.2] Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad

[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples

[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.5] La supervisión de registros de auditoría de GuardDuty EKS debe estar habilitada

[GuardDuty.6] La protección de GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La supervisión en tiempo de ejecución de GuardDuty EKS debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La protección de GuardDuty RDS debe estar habilitada

[GuardDuty.10] La protección de GuardDuty S3 debe estar habilitada

[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada

[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada

[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.10] Las políticas de contraseñas de usuarios de IAM deben tener configuraciones seguras

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados

[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas

AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas

Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados

Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados

AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios

[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los NetworkFirewall firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de eliminación

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de cambio de subred

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.9] deben estar etiquetados

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Las instancias de RDS [RDS.18] deben implementarse en una VPC

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.38] Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito

[RDS.39] Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito

[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch

[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse en tránsito

[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch

[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad

Los grupos de trabajo de Amazon Redshift Serverless deben utilizar un enrutamiento de RedshiftServerless VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch

Los espacios RedshiftServerless de nombres de Redshift Serverless no deben usar el nombre de base de datos predeterminado

[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones

[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1

[SageMaker.5] SageMaker los modelos deberían bloquear el tráfico entrante

[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas

[SageMaker.7] SageMaker las imágenes deben estar etiquetadas

[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles

[SES.1] Las listas de contactos de SES deben estar etiquetadas

[SES.2] Los conjuntos de configuración de SES deben estar etiquetados

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización

[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.2] Las colas de SQS deben estar etiquetadas

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.2] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[SSM.3] EC2 Las instancias Amazon administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión

[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro

[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados

El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado

Las reglas de [WAF.2] Regionales AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla

La web de [WAF.4] Regionales AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición

Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla

La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas

El registro de ACL AWS WAF web de [WAF.11] debe estar habilitado

AWS WAF Las reglas de [WAF.12] deben tener habilitadas las métricas CloudWatch

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

[APIGateway.2] Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas

[Amplify.2] Las ramas de Amplify deben estar etiquetadas

[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas

[AppConfig.2] los perfiles de AWS AppConfig configuración deben estar etiquetados

[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados

[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas

[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados

[AppRunner.1] Los servicios de App Runner deben estar etiquetados

[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados

[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo

[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito

[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados

[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo

[Backup.4] los planes de AWS Backup informes deben estar etiquetados

[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas

[Batch.2] Las políticas de programación de lotes deben estar etiquetadas

[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse

[Batch.4] Las propiedades de los recursos de cómputo en los entornos de cómputo por lotes gestionados deben etiquetarse

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito

[CloudFront.4] CloudFront Las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado

[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado

[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront Las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen

[CloudFront.14] CloudFront Las distribuciones deben etiquetarse

[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys

[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados

[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados

[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas

[Cognito.1] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar

[Connect.1] Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados

[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado

[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo

[DataSync.2] DataSync las tareas deben estar etiquetadas

[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados

[DMS.4] Las instancias de replicación de DMS deben etiquetarse

[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC215] EC2 Las subredes de Amazon no deben asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC220] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos

[EC2.22] Los grupos de EC2 seguridad de Amazon que no se utilicen deben eliminarse

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad

[EC2.33] Las conexiones de puerta de enlace de EC2 tránsito deben etiquetarse

[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse

[EC2.35] Las interfaces EC2 de red deben etiquetarse

[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas

[EC2.40] Las puertas de enlace de EC2 NAT deben etiquetarse

La EC2 red [EC2.41] ACLs debe estar etiquetada

[EC2.42] Las tablas de EC2 enrutamiento deben estar etiquetadas

[EC2.43] los grupos EC2 de seguridad deben estar etiquetados

EC2 Las subredes [EC2.44] deben estar etiquetadas

[EC2.46] Amazon VPCs debería estar etiquetado

[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse

[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse

[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse

[EC251] Los puntos de conexión EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.53] Los grupos EC2 de seguridad no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

[EC2.54] Los grupos EC2 de seguridad no deberían permitir la entrada de: :/0 a los puertos de administración de servidores remotos

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.171] Las conexiones EC2 VPN deben tener el registro habilitado

[EC2.173] Las solicitudes de EC2 Spot Fleet deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados

[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas

[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas

[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas

[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados

[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados

[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes

[ECR.4] Los repositorios públicos de ECR deben estar etiquetados

[ECS.13] Los servicios de ECS deben estar etiquetados

[ECS.15] Las definiciones de tareas de ECS deben etiquetarse

[EFS.6] Los destinos de montaje de EFS no deben estar asociados a una subred pública

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.6] Los clústeres de EKS deben etiquetarse

[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse

[ELB.2] Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ElastiCache.1] Los clústeres ElastiCache (Redis OSS) deben tener habilitadas las copias de seguridad automáticas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas

[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados

[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas

[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples

[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

[GuardDuty.5] La supervisión de registros de auditoría de GuardDuty EKS debe estar habilitada

[GuardDuty.6] La protección de GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La supervisión en tiempo de ejecución de GuardDuty EKS debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La protección de GuardDuty RDS debe estar habilitada

[GuardDuty.10] La protección de GuardDuty S3 debe estar habilitada

[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada

[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada

[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

[IAM.24] Los roles de IAM deben etiquetarse

[IAM.25] Los usuarios de IAM deben etiquetarse

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas

[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados

[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados

[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados

[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados

[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas

[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados

[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados

[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados

[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados

[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas

[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas

[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados

[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados

[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas

[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados

[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas

[IVS.3] Los canales de IVS deben estar etiquetados

[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.4] Los agentes de Amazon MQ deben estar etiquetados

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

Los NetworkFirewall firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

Los NetworkFirewall firewalls de Network Firewall se deben etiquetar

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de eliminación

Los NetworkFirewall firewalls de Network Firewall deben tener habilitada la protección de cambio de subred

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados