Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Descripción de los estándares de seguridad en el CSPM de Security Hub
<a name="standards-view-manage"></a>

En AWS Security Hub CSPM, un *estándar de seguridad* es un conjunto de requisitos que se basa en los marcos normativos, las mejores prácticas del sector o las políticas de la empresa. Para obtener información sobre los estándares que admite actualmente el CSPM de Security Hub, incluidos los controles de seguridad que se aplican a cada uno, consulte [Referencia de estándares para el CSPM de Security Hub](standards-reference.md).

Cuando habilita un estándar, el CSPM de Security Hub habilita automáticamente todos los controles que se aplican a ese estándar. El CSPM de Security Hub ejecuta después las comprobaciones de seguridad correspondientes a esos controles, lo que genera resultados del CSPM de Security Hub. Puede desactivar controles individuales y volver a habilitarlos cuando sea necesario. También puede desactivar un estándar por completo. Si desactiva un estándar, el CSPM de Security Hub deja de ejecutar comprobaciones de seguridad respecto a los controles asociados a ese estándar. En ese caso, ya no se generan resultados para esos controles.

Además de los resultados, el CSPM de Security Hub genera un puntaje de seguridad para cada estándar que habilite. El puntaje se basa en el estado de los controles que se aplican al estándar. Si configura una región de agregación, el puntaje de seguridad de un estándar refleja el estado de los controles en todas las regiones vinculadas. Si es el administrador del CSPM de Security Hub para una organización, el puntaje refleja el estado de los controles de todas las cuentas de la organización. Para obtener más información, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

Para revisar y administrar los estándares, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub. En la consola, la página **Estándares de seguridad** muestra todos los estándares de seguridad que el CSPM de Security Hub admite actualmente. Esta página incluye una descripción de cada estándar y el estado actual del estándar. Si habilita un estándar, también puede usar esta página para acceder a detalles adicionales del estándar. Por ejemplo, puede revisar lo siguiente:
+ El puntaje de seguridad actual del estándar.
+ Las estadísticas agregadas de los controles que se aplican al estándar.
+ La lista de controles que se aplican al estándar y que están habilitados actualmente, incluido el estado de cumplimiento de cada control.
+ La lista de controles que se aplican al estándar pero que están desactivados actualmente.

Para un análisis más detallado, puede filtrar y ordenar los datos y profundizar en los detalles de los controles individuales que se aplican al estándar.

Puede activar los estándares de forma individual para una sola cuenta y. Región de AWS Sin embargo, para ahorrar tiempo y evitar desviaciones de configuración en entornos con múltiples cuentas y regiones, recomendamos usar una [configuración centralizada](central-configuration-intro.md) para habilitar y administrar los estándares. Con una configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas que definan cómo configurar un estándar en varias cuentas y regiones.

**Topics**
+ [Referencia de estándares](standards-reference.md)
+ [Habilitación de un estándar](enable-standards.md)
+ [Revisión de los detalles de un estándar](securityhub-standards-view-controls.md)
+ [Desactivar los estándares con habilitación automática](securityhub-auto-enabled-standards.md)
+ [Desactivación de un estándar](disable-standards.md)

# Referencia de estándares para el CSPM de Security Hub
<a name="standards-reference"></a>

En AWS Security Hub CSPM, un *estándar de seguridad* es un conjunto de requisitos que se basa en los marcos normativos, las mejores prácticas del sector o las políticas de la empresa. El CSPM de Security Hub asigna estos requisitos a controles y ejecuta comprobaciones de seguridad respecto a estos para verificar si se cumplen los requisitos del estándar. Cada estándar incluye varios controles.

El CSPM de Security Hub admite actualmente los siguientes estándares:
+ **AWS Mejores prácticas fundamentales de seguridad**: desarrollado por profesionales del sector AWS y desarrollado por profesionales del sector, es una recopilación de las mejores prácticas de seguridad para organizaciones, independientemente de su sector o tamaño. Proporciona un conjunto de controles que detectan cuándo usted Cuentas de AWS y sus recursos se desvían de las mejores prácticas de seguridad. También ofrece orientación prescriptiva sobre cómo mejorar y mantener la posición de seguridad.
+ **AWS Etiquetado de recursos**: desarrollado por Security Hub CSPM, este estándar puede ayudarlo a determinar si sus AWS recursos tienen etiquetas. Una *etiqueta* es un par clave-valor que actúa como metadatos de un recurso. AWS Las etiquetas pueden ayudarle a identificar, categorizar, administrar y buscar recursos. AWS Por ejemplo, puede usar etiquetas para categorizar recursos por finalidad, propietario o entorno.
+ **CIS AWS Foundations Benchmark**: desarrollado por el Centro de Seguridad de Internet (CIS), este estándar proporciona pautas de configuración segura para AWS. Especifica un conjunto de pautas de configuración de seguridad y mejores prácticas para un subconjunto de recursos Servicios de AWS y hace hincapié en las configuraciones fundamentales, comprobables y independientes de la arquitectura. Las directrices incluyen procedimientos claros de step-by-step implementación y evaluación.
+ **Revisión 5 de NIST SP 800-53**: este estándar se alinea con los requisitos del National Institute of Standards and Technology (NIST) para proteger la confidencialidad, la integridad y la disponibilidad de los sistemas de información y de los recursos críticos. El marco asociado se aplica, por lo general, a agencias federales de los Estados Unidos o a organizaciones que trabajan con agencias federales de ese país o con sus sistemas de información. No obstante, las organizaciones privadas también pueden usar estos requisitos como marco de orientación.
+ **Revisión 2 de NIST SP 800-171**: este estándar se alinea con las recomendaciones y los requisitos de seguridad del NIST para proteger la confidencialidad de la información no clasificada controlada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. La *CUI* es información que no cumple los criterios gubernamentales para clasificación, pero se considera confidencial y la crea o posee el Gobierno federal de los Estados Unidos o entidades que actúan en su nombre.
+ **PCI DSS**: este estándar se alinea con el marco de cumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), definido por el PCI Security Standards Council (SSC). El marco proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y de débito. El marco se aplica, por lo general, a organizaciones que almacenan, tratan o transmiten datos de titulares de tarjetas.
+ **Estándar gestionado por servicios AWS Control Tower**: este estándar le ayuda a configurar los controles de detección proporcionados por Security Hub CSPM desde. AWS Control Tower AWS Control Tower ofrece una forma sencilla de configurar y gobernar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas.

Los estándares y controles del CSPM de Security Hub no garantizan el cumplimiento de marcos normativos ni de auditorías. En su lugar, proporcionan una forma de evaluar y supervisar el estado de los recursos y Cuentas de AWS . Recomendamos habilitar cada estándar que resulte pertinente para las necesidades de su negocio, su sector o su caso de uso.

Los controles individuales se pueden aplicar a más de un estándar. Si habilita varios estándares, recomendamos habilitar también los resultados consolidados de controles. Si hace esto, el CSPM de Security Hub genera un único resultado por cada control, incluso si el control se aplica a más de un estándar. Si no activa los resultados consolidados de controles, el CSPM de Security Hub genera un resultado independiente por cada estándar habilitado al que se aplique un control. Por ejemplo, si habilita dos estándares y un control se aplica a ambos, recibe dos resultados separados para el control, uno por cada estándar. Si habilita los resultados consolidados de controles, recibe un único resultado para el control. Para obtener más información, consulte [Resultados de control consolidados](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Mejores prácticas de seguridad fundamentales](fsbp-standard.md)
+ [AWS Etiquetado de recursos](standards-tagging.md)
+ [Punto de referencia sobre fundaciones CIS AWS](cis-aws-foundations-benchmark.md)
+ [Revisión 5 de NIST SP 800-53](standards-reference-nist-800-53.md)
+ [Revisión 2 de NIST SP 800-171](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Estándar de gestión de servicios](service-managed-standards.md)

# AWS Estándar fundamental de mejores prácticas de seguridad en Security Hub (CSPM)
<a name="fsbp-standard"></a>

Desarrollado por profesionales de la industria AWS y desarrollado por profesionales del sector, el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) es una recopilación de las mejores prácticas de seguridad para organizaciones, independientemente del sector o tamaño de la organización. Proporciona un conjunto de controles que detectan cuándo Cuentas de AWS y los recursos se desvían de las mejores prácticas de seguridad. También ofrece directrices prescriptivas sobre cómo mejorar y mantener la posición de seguridad de la organización.

En AWS Security Hub CSPM, el estándar de mejores prácticas de seguridad AWS fundamentales incluye controles que evalúan continuamente sus cargas de trabajo y las de usted, Cuentas de AWS y lo ayudan a identificar las áreas que se desvían de las mejores prácticas de seguridad. Los controles incluyen las mejores prácticas de seguridad para los recursos de varios Servicios de AWS. A cada control se le asigna una categoría que refleja la función de seguridad a la que se aplica el control. Para ver la lista de categorías y obtener más detalles, consulte [Categorías de controles](control-categories.md).

## Controles que se aplican al estándar
<a name="fsbp-controls"></a>

La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar AWS Foundational Security Best Practices (v1.0.0). Para revisar los detalles de un control, seleccione el control.

 [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1) 

 [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1) 

 [[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2) 

 [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Las cachés de las AWS AppSync API deben cifrarse en reposo](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Las cachés de las AWS AppSync API deben cifrarse en tránsito](appsync-controls.md#appsync-6) 

 [[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado](athena-controls.md#athena-4) 

 [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 

 [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 

 [[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso al origen para los orígenes de la URL de la función Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las firmas y las cookies URLs](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas](cognito-controls.md#cognito-2) 

 [[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas](cognito-controls.md#cognito-3) 

 [[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada](cognito-controls.md#cognito-4) 

 [[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[Connect.2] Las instancias de Amazon Connect deben tener el CloudWatch registro activado](connect-controls.md#connect-2) 

 [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync las tareas deberían tener el registro activado](datasync-controls.md#datasync-1) 

 [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 

 [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 

 [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 

 [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 

 [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 

 [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 

 [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 

 [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 

 [[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad](dms-controls.md#dms-13) 

 [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 

 [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 

 [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 

 [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo](ec2-controls.md#ec2-3) 

 [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7) 

 [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15) 

 [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16) 

 [[EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18) 

 [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19) 

 [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 

 [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 

 [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 

 [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)

[[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171) 

 [[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-173) 

 [[EC2.180] Las interfaces de red EC2 deberían tener habilitada la comprobación source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados](ec2-controls.md#ec2-181) 

 [[EC2.182] Las instantáneas de Amazon EBS no deben ser de acceso público](ec2-controls.md#ec2-182) 

 [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 

 [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 

 [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 

 [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) 

 [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2) 

 [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 

 [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 

 [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 

 [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 

 [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 

 [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 

 [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 

 [[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16) 

 [[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada](ecs-controls.md#ecs-19) 

 [[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 

 [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 

 [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 

 [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 

 [[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas](efs-controls.md#efs-7) 

 [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8) 

 [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1) 

 [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 

 [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 

 [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 

 [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3) 

 [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4) 

 [[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado](elb-controls.md#elb-5) 

 [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6) 

 [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) 

 [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas](elb-controls.md#elb-9) 

 [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 

 [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 

 [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 

 [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 

 [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 

 [[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito](elb-controls.md#elb-18) 

 [[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados](elb-controls.md#elb-21) 

 [[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados](elb-controls.md#elb-22) 

 [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 

 [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 

 [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 

 [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 

 [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 

 [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 

 [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 

 [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 

 [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5) 

 [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6) 

 [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7) 

 [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8) 

 [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx para los sistemas de archivos OpenZFS, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx para los sistemas de archivos NetApp ONTAP, debe configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx para Windows, los sistemas de archivos del servidor de archivos deben configurarse para el despliegue en zonas de disponibilidad múltiples](fsx-controls.md#fsx-5) 

 [[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo](glue-controls.md#glue-3) 

 [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] La monitorización del tiempo de ejecución GuardDuty de EC2 debe estar habilitada](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 

 [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 

 [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 

 [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 

 [[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1) 

 [[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2) 

 [[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3) 

 [[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 

 [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 

 [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3) 

 [[KMS.5] Las claves KMS no deben ser de acceso público](kms-controls.md#kms-5) 

 [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 

 [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) 

 [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 

 [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 

 [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3) 

 [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 

 [[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3) 

 [[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado](msk-controls.md#msk-4) 

 [[MSK.5] Los conectores de MSK deben tener el registro habilitado](msk-controls.md#msk-5) 

 [[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación](msk-controls.md#msk-6) 

 [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 

 [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 

 [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 

 [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 

 [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 

 [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 

 [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 

 [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 

 [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 

 [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 

 [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 

 [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 

 [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 

 [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 

 [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 

 [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 

 [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 

 [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 

 [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3) 

 [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4) 

 [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5) 

 [Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]](rds-controls.md#rds-6) 

 [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) 

 [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8) 

 [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9) 

 [La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS](rds-controls.md#rds-10) 

 [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11) 

 [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12) 

 [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13) 

 [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 

 [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 

 [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) 

 [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17) 

 [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19) 

 [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20) 

 [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21) 

 [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22) 

 [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23) 

 [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 

 [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 

 [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 

 [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 

 [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 

 [[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito](rds-controls.md#rds-41) 

 [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones](rds-controls.md#rds-43) 

 [[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito](rds-controls.md#rds-44) 

 [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 

 [[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet](rds-controls.md#rds-46) 

 [[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos](rds-controls.md#rds-47) 

 [[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-48) 

 [[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente](rds-controls.md#rds-50) 

 [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 

 [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2) 

 [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 

 [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 

 [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 

 [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 

 [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 

 [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 

 [[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15) 

 [[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Los espacios de nombres de Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Los espacios de nombres de Redshift Serverless deberían exportar los registros a los registros CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 

 [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2) 

 [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3) 

 [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 

 [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6) 

 [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8) 

 [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9) 

 [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 

 [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 

 [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 

 [[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24) 

 [[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-25) 

 [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] Las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] Las definiciones de trabajos relacionados con la calidad SageMaker de los datos deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] Las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] Los cronogramas SageMaker de monitoreo deben tener habilitado el aislamiento de la red](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos](ses-controls.md#ses-3) 

 [[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público](sns-controls.md#sns-4) 

 [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 

 [[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público](sqs-controls.md#sqs-3) 

 [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 

 [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 

 [[SSM.6] La automatización de SSM debe tener el registro activado CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 

 [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 

 [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 

 [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 

 [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 

 [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 

 [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 

 [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 

 [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 

 [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo](workspaces-controls.md#workspaces-2) 

# AWS Estándar de etiquetado de recursos en Security Hub (CSPM)
<a name="standards-tagging"></a>

El estándar AWS de etiquetado de recursos, desarrollado por AWS Security Hub CSPM, le ayuda a determinar si faltan etiquetas en sus AWS recursos. Las *etiquetas* son pares clave-valor que actúan como metadatos para organizar los recursos. AWS En la mayoría de los recursos de AWS , puede agregar etiquetas al recurso cuando lo crea o después de crearlo. Algunos ejemplos de recursos incluyen CloudFront distribuciones de Amazon, instancias de Amazon Elastic Compute Cloud (Amazon EC2) y secrets in. AWS Secrets Manager Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar AWS los recursos.

Cada etiqueta de tiene dos partes:
+ Una clave de etiqueta, por ejemplo, `CostCenter`, `Environment`, o `Project`. Las claves de etiquetas distinguen entre mayúsculas y minúsculas.
+ Un valor de etiqueta, por ejemplo, `111122223333` o `Production`. Al igual que las claves de etiquetas, los valores de las etiquetas distinguen mayúsculas de minúsculas.

Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Para obtener información sobre cómo añadir etiquetas a AWS los recursos, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Para cada control que se aplique al estándar de etiquetado de AWS recursos de Security Hub CSPM, puede utilizar opcionalmente el parámetro compatible para especificar las claves de etiqueta que desea que compruebe el control. Si no especifica ninguna clave de etiqueta, el control verifica únicamente la existencia de al menos una clave de etiqueta y falla si un recurso no tiene ninguna.

Antes de habilitar el estándar AWS de etiquetado de recursos, es importante habilitar y configurar el registro de recursos en. AWS Config Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, incluida una lista de los tipos de recursos que se deben registrar, consulte [ AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md).

Tras activar el estándar de etiquetado de AWS recursos, empezará a recibir información sobre los controles que se aplican al estándar. Tenga en cuenta que Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles que se aplican a otros estándares habilitados. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

El estándar de etiquetado de AWS recursos tiene el siguiente nombre de recurso de Amazon (ARN)`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* donde es el código de región correspondiente. Región de AWS También puede utilizar el [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)funcionamiento de la API CSPM de Security Hub para recuperar el ARN de un estándar que esté habilitado actualmente.

**nota**  
El [estándar de etiquetado de recursos de AWS](#standards-tagging) no está disponible en las regiones de Asia-Pacífico (Nueva Zelanda) y Asia-Pacífico (Taipéi).

## Controles que se aplican al estándar
<a name="tagging-standard-controls"></a>

La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar de etiquetado de AWS recursos (v1.0.0). Para revisar los detalles de un control, seleccione el control.
+ [[ACM.3] Los certificados ACM deben estar etiquetados](acm-controls.md#acm-3)
+ [[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas](amplify-controls.md#amplify-1)
+ [[Amplify.2] Las ramas de Amplify deben estar etiquetadas](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Los servicios de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL debe estar etiquetado](appsync-controls.md#appsync-4)
+ [[Athena.2] Los catálogos de datos de Athena deben estar etiquetados](athena-controls.md#athena-2)
+ [[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados](athena-controls.md#athena-3)
+ [[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados](backup-controls.md#backup-2)
+ [[Backup.3] las AWS Backup bóvedas deben estar etiquetadas](backup-controls.md#backup-3)
+ [Los planes de AWS Backup informes [Backup.4] deben estar etiquetados](backup-controls.md#backup-4)
+ [[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados](backup-controls.md#backup-5)
+ [[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas](batch-controls.md#batch-1)
+ [[Batch.2] Las políticas de programación de Batch deben estar etiquetadas](batch-controls.md#batch-2)
+ [[Batch.3] Los entornos de computación de Batch deben estar etiquetados](batch-controls.md#batch-3)
+ [[Batch.4] Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas.](batch-controls.md#batch-4)
+ [[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync las tareas deben estar etiquetadas](datasync-controls.md#datasync-2)
+ [[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados](detective-controls.md#detective-1)
+ [[DMS.2] Los certificados DMS deben estar etiquetados](dms-controls.md#dms-2)
+ [[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas](dms-controls.md#dms-3)
+ [[DMS.4] Las instancias de replicación de DMS deben etiquetarse](dms-controls.md#dms-4)
+ [[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados](dms-controls.md#dms-5)
+ [[DynamoDB.5] Las tablas de DynamoDB deben etiquetarse](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-33)
+ [[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-34)
+ [[EC2.35] Las interfaces de red de EC2 deben etiquetarse](ec2-controls.md#ec2-35)
+ [[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse](ec2-controls.md#ec2-36)
+ [[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse](ec2-controls.md#ec2-37)
+ [[EC2.38] Las instancias de EC2 deben etiquetarse](ec2-controls.md#ec2-38)
+ [[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse](ec2-controls.md#ec2-39)
+ [[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-40)
+ [[EC2.41] La red EC2 debe estar etiquetada ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse](ec2-controls.md#ec2-42)
+ [[EC2.43] Los grupos de seguridad de EC2 deben etiquetarse](ec2-controls.md#ec2-43)
+ [[EC2.44] Las subredes de EC2 deben etiquetarse](ec2-controls.md#ec2-44)
+ [[EC2.45] Los volúmenes de EC2 deben etiquetarse](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs debe estar etiquetado](ec2-controls.md#ec2-46)
+ [[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-47)
+ [[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-48)
+ [[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse](ec2-controls.md#ec2-49)
+ [[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse](ec2-controls.md#ec2-50)
+ [[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse](ec2-controls.md#ec2-52)
+ [[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados](ec2-controls.md#ec2-174)
+ [[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas](ec2-controls.md#ec2-175)
+ [[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas](ec2-controls.md#ec2-176)
+ [[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas](ec2-controls.md#ec2-177)
+ [[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-178)
+ [[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados](ec2-controls.md#ec2-179)
+ [[ECR.4] Los repositorios públicos de ECR deben estar etiquetados](ecr-controls.md#ecr-4)
+ [[ECS.13] Los servicios de ECS deben estar etiquetados](ecs-controls.md#ecs-13)
+ [[ECS.14] Los clústeres de ECS deben etiquetarse](ecs-controls.md#ecs-14)
+ [[ECS.15] Las definiciones de tareas de ECS deben etiquetarse](ecs-controls.md#ecs-15)
+ [[EFS.5] Los puntos de acceso de EFS deben etiquetarse](efs-controls.md#efs-5)
+ [[EKS.6] Los clústeres de EKS deben etiquetarse](eks-controls.md#eks-6)
+ [[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse](eks-controls.md#eks-7)
+ [[ES.9] Los dominios de Elasticsearch deben estar etiquetados](es-controls.md#es-9)
+ [[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] los AWS Glue trabajos deben estar etiquetados](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty los filtros deben estar etiquetados](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets debe estar etiquetado](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty los detectores deben estar etiquetados](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse](iam-controls.md#iam-23)
+ [[IAM.24] Los roles de IAM deben etiquetarse](iam-controls.md#iam-24)
+ [[IAM.25] Los usuarios de IAM deben etiquetarse](iam-controls.md#iam-25)
+ [Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados](iot-controls.md#iot-1)
+ [[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas](iot-controls.md#iot-2)
+ [AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas](iot-controls.md#iot-3)
+ [Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados](iot-controls.md#iot-4)
+ [Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados](iot-controls.md#iot-5)
+ [AWS IoT Core Las políticas [IoT.6] deben estar etiquetadas](iot-controls.md#iot-6)
+ [[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados](ivs-controls.md#ivs-1)
+ [[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas](ivs-controls.md#ivs-2)
+ [[IVS.3] Los canales de IVS deben estar etiquetados](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Las transmisiones de Kinesis deben etiquetarse](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Las funciones de Lambda deben estar etiquetadas](lambda-controls.md#lambda-6)
+ [[MQ.4] Los agentes de Amazon MQ deben estar etiquetados](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas](networkfirewall-controls.md#networkfirewall-8)
+ [Los OpenSearch dominios [Opensearch.9] deben estar etiquetados](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas](pca-controls.md#pca-2)
+ [[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse](rds-controls.md#rds-28)
+ [[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse](rds-controls.md#rds-29)
+ [[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-30)
+ [[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-31)
+ [[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-32)
+ [[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse](rds-controls.md#rds-33)
+ [[Redshift.11] Los clústeres de Redshift deben etiquetarse](redshift-controls.md#redshift-11)
+ [[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse](redshift-controls.md#redshift-12)
+ [[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-13)
+ [[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse](redshift-controls.md#redshift-14)
+ [[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados](redshift-controls.md#redshift-17)
+ [[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas](route53-controls.md#route53-1)
+ [[SageMaker.6] Las configuraciones de las imágenes de las SageMaker aplicaciones deben estar etiquetadas](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker las imágenes deben estar etiquetadas](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Las listas de contactos de SES deben estar etiquetadas](ses-controls.md#ses-1)
+ [[SES.2] Los conjuntos de configuración de SES deben estar etiquetados](ses-controls.md#ses-2)
+ [[SNS.3] Los temas de SNS deben etiquetarse](sns-controls.md#sns-3)
+ [[SQS.2] Las colas de SQS deben estar etiquetadas](sqs-controls.md#sqs-2)
+ [[SSM.5] Los documentos de SSM deben estar etiquetados](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas](stepfunctions-controls.md#stepfunctions-2)
+ [Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados](transfer-controls.md#transfer-1)
+ [[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-4)
+ [[Transfer.5] Los certificados de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-5)
+ [[Transfer.6] Los conectores de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-6)
+ [[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados](transfer-controls.md#transfer-7)

# CIS AWS Foundations es el punto de referencia en Security Hub (CSPM)
<a name="cis-aws-foundations-benchmark"></a>

El Center for Internet Security (CIS) AWS Foundations Benchmark sirve como un conjunto de mejores prácticas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos claros de step-by-step implementación y evaluación. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización. 

AWS Security Hub CSPM es compatible con las versiones 5.0.0, 3.0.0, 1.4.0 y 1.2.0 de CIS AWS Foundations Benchmark. Esta página enumera los controles de seguridad que admite cada versión. También ofrece una comparación entre las versiones.

## CIS Foundations Benchmark, versión 5.0.0 AWS
<a name="cis5v0-standard"></a>

Security Hub CSPM es compatible con la versión 5.0.0 (v5.0.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS: 
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v5.0.0, nivel 1
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v5.0.0, nivel 2

### Controles que se aplican a la versión 5.0.0 de CIS AWS Foundations Benchmark
<a name="cis5v0-controls"></a>

[[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)

[[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)

[[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)

[[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)

[[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)

[[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)

[[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)

[[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)

[[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)

[[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)

[[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)

[[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)

[[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)

[[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)

[[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)

[[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)

[[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)

[[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)

[La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)

[[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)

[Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5)

[Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)

[Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)

[[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)

[[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)

[[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)

[[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)

[[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)

[[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark, versión 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM es compatible con la versión 3.0.0 (v3.0.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS: 
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v3.0.0, nivel 1
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v3.0.0, nivel 2

### Controles que se aplican a la versión 3.0.0 de CIS AWS Foundations Benchmark
<a name="cis3v0-controls"></a>

[[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)

[[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)

[[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)

[[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)

[[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)

[[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)

[[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)

[[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)

[[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)

[[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)

[[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)

[[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)

[[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)

[[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)

[[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)

[[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)

[[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)

[[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)

[La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)

[[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)

[Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)

[[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)

[[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)

[[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)

[[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)

[[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)

[[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)

## CIS AWS Foundations Benchmark, versión 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM es compatible con la versión 1.4.0 (v1.4.0) del CIS Foundations Benchmark. AWS 

### Controles que se aplican a la versión 1.4.0 de CIS Foundations Benchmark AWS
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7) 

 [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 

 [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 

 [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 

 [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 

 [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) 

 [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 

 [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3) 

 [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 

 [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 

 [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8) 

 [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 

## CIS AWS Foundations Benchmark, versión 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM es compatible con la versión 1.2.0 (v1.2.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS: 
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 1
+ Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 2

### Controles que se aplican a la versión 1.2.0 de CIS AWS Foundations Benchmark
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 

 [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 

 [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 

 [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11) 

 [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12) 

 [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13) 

 [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14) 

 [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15) 

 [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16) 

 [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17) 

 [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18) 

 [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 

## Comparación de versiones de CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

En esta sección se resumen las diferencias entre las versiones específicas del Center for Internet Security (CIS) AWS Foundations Benchmark: v5.0.0, v3.0.0, v1.4.0 y v1.2.0. AWS Security Hub CSPM es compatible con cada una de estas versiones del CIS AWS Foundations Benchmark. Sin embargo, recomendamos usar la versión 5.0.0 para mantener actualizadas las prácticas recomendadas de seguridad. Puede tener habilitadas varias versiones de los estándares de CIS AWS Foundations Benchmark al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte [Habilitación de un estándar de seguridad](enable-standards.md). Si desea actualizar a la versión 5.0.0, habilítela antes de desactivar una versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. [Si utiliza la integración CSPM de Security Hub con varias cuentas AWS Organizations y desea habilitarla por lotes en varias cuentas, le recomendamos que utilice la configuración central.](central-configuration-intro.md)

### Asignación de los controles a los requisitos del CIS en cada versión
<a name="cis-version-comparison"></a>

Comprenda qué controles admite cada versión del CIS AWS Foundations Benchmark.


| ID y título de control | Requisito CIS v5.0.0 | Requisito del CIS v3.0.0 | Requisito del CIS v1.4.0 | Requisito del CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  3.1  | 
|  [[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA](cloudwatch-controls.md#cloudwatch-3)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  3.2  | 
|  [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.5  |  3.5  | 
|  [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.9  |  3.9  | 
|  [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.10  |  3.10  | 
|  [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.11  |  3.11  | 
|  [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.12  |  3.12  | 
|  [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  4.14  |  3.14  | 
|  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2,5  | 
|  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  No compatible  | 
|  [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  No admitido  |  No admitido  | 
|  [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)  |  No compatible: se sustituyó por los requisitos 5.3 y 5.4  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  4.1  | 
|  [[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)  |  No compatible: se sustituyó por los requisitos 5.3 y 5.4  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  No compatible: se sustituyó por los requisitos 5.2 y 5.3  |  4.2  | 
|  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  No compatible  | 
|  [[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  No admitido  |  No admitido  | 
|  [[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  No admitido  |  No admitido  | 
|  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  No admitido  |  No admitido  | 
|  [[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo](efs-controls.md#efs-8)  |  2.3.1  |  No admitido  |  No admitido  |  No admitido  | 
|  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)  |  No admitido   |  No admitido   |  1.16  |  1.22  | 
|  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)  |  1.14  |  1.15  |  No compatible  |  1.16  | 
|  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)  |  No se admite: consulte [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) en su lugar  |  No se admite: consulte [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) en su lugar  |  No se admite: consulte [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22) en su lugar  |  1.3  | 
|  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.5  | 
|  [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.6  | 
|  [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.7  | 
|  [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.8  | 
|  [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.11  | 
|  [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)  |  1.16  |  1,17  |  1,17  |  1.2  | 
|  [[IAM.20] Evite el uso del usuario raíz](iam-controls.md#iam-20)  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  No compatible: el CIS eliminó este requisito  |  1.1  | 
|  [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse](iam-controls.md#iam-26)  |  1.18  |  1.19  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1.22  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse](iam-controls.md#iam-28)  |  1.19  |  1,20  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1)  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  |  No compatible: comprobación manual  | 
|  [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5)  |  2.2.4  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15)  |  2.2.4  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 
|  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  No compatible: el CIS agregó este requisito en versiones posteriores  | 

### ARNs para los puntos de referencia de la AWS Fundación CIS
<a name="cisv1.4.0-finding-fields"></a>

Cuando habilita una o más versiones del índice de referencia de CIS AWS Foundations, comienza a recibir los resultados en el formato de búsqueda de AWS seguridad (ASFF). En el ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):

**CIS AWS Foundations Benchmark, versión 5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Referencia sobre AWS fundaciones de la CEI, versión 3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Punto de referencia sobre AWS fundaciones de la CEI v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Índice de referencia sobre AWS fundaciones CIS v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Puede utilizar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) de la API del CSPM de Security Hub para averiguar el ARN de un estándar habilitado.

Los valores anteriores son para `StandardsArn`. Sin embargo, `StandardsSubscriptionArn` hace referencia al recurso de suscripción estándar que el CSPM de Security Hub crea cuando se suscribe a un estándar mediante una llamada a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) en una región.

**nota**  
Al habilitar una versión del CIS AWS Foundations Benchmark, Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información sobre el programa para generar resultados de control, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Los campos de resultados serán diferentes si activa los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte [Impacto de la consolidación en los campos y valores ASFF](asff-changes-consolidation.md). Para ver ejemplos de los resultados de los controles, consulte [Ejemplos de resultados de controles](sample-control-findings.md).

### Requisitos del CIS que no se admiten en el CSPM de Security Hub
<a name="securityhub-standards-cis-checks-not-supported"></a>

Como se indica en la tabla anterior, el Security Hub CSPM no admite todos los requisitos de CIS en todas las versiones del CIS AWS Foundations Benchmark. Muchos de los requisitos no compatibles solo se pueden evaluar de forma manual al revisar el estado de los recursos de AWS .

# Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub
<a name="standards-reference-nist-800-53"></a>

La Publicación Especial 800-53 Revisión 5 del NIST (NIST SP 800-53 Rev. 5) es un marco de ciberseguridad y cumplimiento normativo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias y contratistas del gobierno federal de los Estados Unidos deben cumplir estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden usar estos requisitos de manera voluntaria como marco orientador para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) en el *Centro de Recursos de Seguridad Informática de NIST*.

AWS Security Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-53, revisión 5. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revisión 5 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-53 Revisión 5 que requieren comprobaciones manuales.

A diferencia de otros marcos, NIST SP 800-53 Revisión 5 no prescribe cómo se deben evaluar sus requisitos. En su lugar, el marco proporciona directrices. En el CSPM de Security Hub, el estándar NIST SP 800-53 Revisión 5 y sus controles representan la interpretación que hace el servicio de estas directrices.

**Topics**
+ [Configuración del registro de recursos para el estándar](#standards-reference-nist-800-53-recording)
+ [Cómo determinar qué controles se aplican al estándar](#standards-reference-nist-800-53-controls)

## Configuración del registro de recursos para los controles que se aplican al estándar
<a name="standards-reference-nist-800-53-recording"></a>

Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. Esto se aplica principalmente a los controles que tienen un tipo de programación *activado por cambios*. Sin embargo, algunos controles con un tipo de programación *periódica* también requieren el registro de recursos. Si el registro de recursos no está habilitado o no está configurado correctamente, es posible que el CSPM de Security Hub no pueda evaluar los recursos correspondientes ni generar resultados precisos para los controles que se aplican al estándar.

Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte [Trabajar con el grabador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la Guía *AWS Config para desarrolladores*.

La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de Security Hub.


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Servicio Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Cómo determinar qué controles se aplican al estándar
<a name="standards-reference-nist-800-53-controls"></a>

La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-53 revisión 5 y se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS CSPM. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo **Requisitos relacionados** en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
+ [[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS](account-controls.md#account-1)
+ [[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3) 
+  [[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Los almacenes de datos de eventos de CloudTrail Lake deben estar cifrados y gestionados por el cliente AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 
+  [[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 
+  [[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6) 
+  [[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7) 
+  [[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8) 
+  [[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11) 
+  [[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo](documentdb-controls.md#documentdb-1) 
+  [[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2) 
+  [[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3) 
+  [[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 
+  [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 
+  [[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo](ec2-controls.md#ec2-3) 
+  [[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico](ec2-controls.md#ec2-4) 
+  [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] El cifrado predeterminado de EBS debe estar activado](ec2-controls.md#ec2-7) 
+  [[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección pública IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada](ec2-controls.md#ec2-12) 
+  [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15) 
+  [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16) 
+  [[EC2.17] Las instancias de Amazon EC2 no deben usar múltiples ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18) 
+  [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19) 
+  [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20) 
+  [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2](ec2-controls.md#ec2-24) 
+  [[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25) 
+  [[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad](ec2-controls.md#ec2-28) 
+  [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1) 
+  [[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas](ecr-controls.md#ecr-2) 
+  [[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida](ecr-controls.md#ecr-3) 
+  [[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario](ecs-controls.md#ecs-1) 
+  [[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2) 
+  [[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión](ecs-controls.md#ecs-3) 
+  [[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios](ecs-controls.md#ecs-4) 
+  [[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz](ecs-controls.md#ecs-5) 
+  [[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8) 
+  [[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro](ecs-controls.md#ecs-9) 
+  [[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10) 
+  [[ECS.12] Los clústeres de ECS deben usar Container Insights](ecs-controls.md#ecs-12) 
+  [[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red de host](ecs-controls.md#ecs-17) 
+  [[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo](efs-controls.md#efs-2) 
+  [[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz](efs-controls.md#efs-3) 
+  [[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4) 
+  [[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento](efs-controls.md#efs-6) 
+  [[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1) 
+  [[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2) 
+  [[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3) 
+  [[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8) 
+  [[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3) 
+  [[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4) 
+  [[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado](elb-controls.md#elb-5) 
+  [[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada](elb-controls.md#elb-6) 
+  [[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones](elb-controls.md#elb-7) 
+  [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas](elb-controls.md#elb-9) 
+  [[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad](elb-controls.md#elb-10) 
+  [[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12) 
+  [[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad](elb-controls.md#elb-13) 
+  [[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14) 
+  [[ELB.16] Los AWS WAF balanceadores de carga de aplicaciones deben estar asociados a una ACL web](elb-controls.md#elb-16) 
+  [[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas](elb-controls.md#elb-17) 
+  [[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1) 
+  [[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2) 
+  [[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo](emr-controls.md#emr-3) 
+  [[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito](emr-controls.md#emr-4) 
+  [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 
+  [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 
+  [[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3) 
+  [[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros](es-controls.md#es-4) 
+  [[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5) 
+  [[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos](es-controls.md#es-6) 
+  [[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados](es-controls.md#es-7) 
+  [[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8) 
+  [[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] en el caso FSx de OpenZFS, los sistemas de archivos deben configurarse para copiar etiquetas en copias de seguridad y volúmenes](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad](fsx-controls.md#fsx-2) 
+  [[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 
+  [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 
+  [[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3) 
+  [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 
+  [[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5) 
+  [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 
+  [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7) 
+  [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 
+  [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 
+  [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21) 
+  [[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS](kms-controls.md#kms-2) 
+  [[KMS.3] no AWS KMS keys debe eliminarse involuntariamente](kms-controls.md#kms-3) 
+  [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 
+  [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Las funciones Lambda deben tener activado el rastreo activo AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie debe estar habilitado](macie-controls.md#macie-1) 
+  [[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada](macie-controls.md#macie-2) 
+  [[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1) 
+  [[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada](msk-controls.md#msk-2) 
+  [[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3) 
+  [[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres](mq-controls.md#mq-6) 
+  [[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3) 
+  [[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación](neptune-controls.md#neptune-4) 
+  [[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM](neptune-controls.md#neptune-7) 
+  [[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas](neptune-controls.md#neptune-8) 
+  [[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred](networkfirewall-controls.md#networkfirewall-10) 
+  [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 
+  [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 
+  [Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos](opensearch-controls.md#opensearch-3) 
+  [El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado](opensearch-controls.md#opensearch-4) 
+  [Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5) 
+  [Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos](opensearch-controls.md#opensearch-6) 
+  [Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente](opensearch-controls.md#opensearch-8) 
+  [Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10) 
+  [Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados](opensearch-controls.md#opensearch-11) 
+  [La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada](pca-controls.md#pca-1) 
+  [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 
+  [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo](rds-controls.md#rds-3) 
+  [Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas](rds-controls.md#rds-4) 
+  [Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad](rds-controls.md#rds-5) 
+  [Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]](rds-controls.md#rds-6) 
+  [Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-7) 
+  [Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación](rds-controls.md#rds-8) 
+  [[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)
+  [La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS](rds-controls.md#rds-10) 
+  [Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas](rds-controls.md#rds-11) 
+  [La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS](rds-controls.md#rds-12) 
+  [Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13) 
+  [Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores](rds-controls.md#rds-14) 
+  [Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad](rds-controls.md#rds-15) 
+  [[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos](rds-controls.md#rds-16) 
+  [Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas](rds-controls.md#rds-17) 
+  [Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos](rds-controls.md#rds-19) 
+  [Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20) 
+  [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21) 
+  [Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22) 
+  [Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos](rds-controls.md#rds-23) 
+  [Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24) 
+  [Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25) 
+  [Las instancias de base de datos de RDS [RDS.26] deben protegerse mediante un plan de copias de seguridad](rds-controls.md#rds-26) 
+  [Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo](rds-controls.md#rds-27) 
+  [[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34) 
+  [Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35) 
+  [[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría](rds-controls.md#rds-45) 
+  [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 
+  [Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2) 
+  [Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas](redshift-controls.md#redshift-3) 
+  [Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4) 
+  [Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales](redshift-controls.md#redshift-6) 
+  [Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado](redshift-controls.md#redshift-7) 
+  [Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado](redshift-controls.md#redshift-8) 
+  [Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2) 
+  [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 
+  [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2) 
+  [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3) 
+  [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 
+  [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6) 
+  [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 
+  [[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8) 
+  [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9) 
+  [[S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida](s3-controls.md#s3-10) 
+  [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11) 
+  [[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3](s3-controls.md#s3-12) 
+  [[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida](s3-controls.md#s3-13) 
+  [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14) 
+  [[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15) 
+  [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19) 
+  [[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA](s3-controls.md#s3-20) 
+  [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1) 
+  [Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo](sqs-controls.md#sqs-1) 
+  [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 
+  [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Los documentos SSM no deben ser públicos](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro](transfer-controls.md#transfer-3) 
+  [[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1) 
+  [[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-2) 
+  [[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-3) 
+  [[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-4) 
+  [[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición](waf-controls.md#waf-6) 
+  [[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla](waf-controls.md#waf-7) 
+  [[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas](waf-controls.md#waf-10) 
+  [[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11) 
+  [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12) 

# Revisión 2 de NIST SP 800-171 en el CSPM de Security Hub
<a name="standards-reference-nist-800-171"></a>

La Publicación Especial 800-171 Revisión 2 del NIST (NIST SP 800-171 Rev. 2) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento establece requisitos de seguridad recomendados para proteger la confidencialidad de la información controlada no clasificada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. *La información controlada no clasificada* (*CUI*) es información confidencial que no cumple los criterios del Gobierno para clasificarse, pero que igualmente se debe proteger. Se trata información considerada confidencial que es creada o mantenida por el Gobierno federal de los Estados Unidos o por entidades que actúan en su nombre.

NIST SP 800-171 Revisión 2 define requisitos de seguridad recomendados para proteger la confidencialidad de la CUI cuando:
+ La información se aloja en sistemas u organizaciones que no pertenecen al Gobierno federal;
+ La organización no federal no recopila ni mantiene la información en nombre de una agencia federal, ni utiliza u opera un sistema en nombre de dicha agencia; y 
+ No existen requisitos de protección específicos establecidos por la ley habilitante, la normativa o una política federal aplicable a la categoría de CUI correspondiente, según figura en el Registro de CUI. 

Los requisitos se aplican a todos los componentes de sistemas y organizaciones no federales que tratan, almacenan o transmiten CUI, o que proporcionan protección de seguridad para dichos componentes. Para obtener más información, consulte [NIST SP 800-171 Revisión 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) en el *Centro de Recursos de Seguridad Informática del NIST*.

AWS Security Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-171, revisión 2. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-171 Revisión 2 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-171 Revisión 2 que requieren comprobaciones manuales.

**Topics**
+ [Configuración del registro de recursos para el estándar](#standards-reference-nist-800-171-recording)
+ [Cómo determinar qué controles se aplican al estándar](#standards-reference-nist-800-171-controls)

## Configuración del registro de recursos para los controles que se aplican al estándar
<a name="standards-reference-nist-800-171-recording"></a>

Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-171 revisión 2 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar.

Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte [Trabajar con el grabador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la Guía *AWS Config para desarrolladores*.

La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-171 Revisión 2 en el CSPM de Security Hub.


| Servicio de AWS | Tipos de recurso | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Cómo determinar qué controles se aplican al estándar
<a name="standards-reference-nist-800-171-controls"></a>

La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-171 revisión 2 y se aplican al estándar NIST SP 800-171 revisión 2 en Security Hub CSPM. AWS Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo **Requisitos relacionados** en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16)
+ [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18)
+ [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)
+ [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)
+ [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14)
+ [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)

# PCI DSS en el CSPM de Security Hub
<a name="pci-standard"></a>

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un marco de cumplimiento de terceros que proporciona un conjunto de reglas y directrices para manejar de forma segura la información de tarjetas de crédito y débito. El Consejo de Normas de Seguridad PCI (PCI SSC) crea y actualiza este marco.

AWS Security Hub CSPM proporciona un estándar PCI DSS que puede ayudarlo a cumplir con este marco de terceros. Puede utilizar este estándar para descubrir vulnerabilidades de seguridad en los recursos de AWS que gestionan los datos de los titulares de tarjetas. Recomendamos habilitar este estándar en Cuentas de AWS con recursos que almacenan, tratan o transmiten datos de titulares de tarjetas o información confidencial de autenticación. Las evaluaciones realizadas por el PCI SSC validaron este estándar.

El CSPM de Security Hub ofrece compatibilidad con PCI DSS v3.2.1 y PCI DSS v4.0.1. Recomendamos usar la versión v4.0.1 para mantenerse alineado con las prácticas recomendadas de seguridad más recientes. Puede tener ambas versiones del estándar habilitadas al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte [Habilitación de un estándar de seguridad](enable-standards.md). Si actualmente usa la versión v3.2.1 pero desea usar únicamente la v4.0.1, habilite primero la versión más reciente antes de desactivar la versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si utiliza la integración CSPM de Security Hub AWS Organizations y desea habilitar por lotes la versión 4.0.1 en varias cuentas, le recomendamos que utilice la [configuración central](central-configuration-intro.md) para hacerlo.

Las siguientes secciones especifican qué controles se aplican a PCI DSS v3.2.1 y a PCI DSS v4.0.1.

## Controles que se aplican a PCI DSS v3.2.1
<a name="pci-controls"></a>

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v3.2.1. Para revisar los detalles de un control, seleccione el control.

 [[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar las comprobaciones de estado del ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos](config-controls.md#config-1) 

 [[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1) 

 [[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente](ec2-controls.md#ec2-1) 

 [[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente](ec2-controls.md#ec2-2) 

 [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Debe quitarse la Amazon EIPs EC2 no utilizada](ec2-controls.md#ec2-12) 

 [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13) 

 [[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo](es-controls.md#es-1) 

 [[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\$1”](iam-controls.md#iam-1) 

 [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2) 

 [[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir](iam-controls.md#iam-4) 

 [[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6) 

 [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8) 

 [[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9) 

 [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10) 

 [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19) 

 [La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4) 

 [[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1) 

 [[Lambda.3] Las funciones de Lambda deben estar en una VPC](lambda-controls.md#lambda-3) 

 [Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo](opensearch-controls.md#opensearch-1) 

 [Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público](opensearch-controls.md#opensearch-2) 

 [[RDS.1] La instantánea de RDS debe ser privada](rds-controls.md#rds-1) 

 [[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1) 

 [[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1) 

 [[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura](s3-controls.md#s3-2) 

 [[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura](s3-controls.md#s3-3) 

 [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5) 

 [[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones](s3-controls.md#s3-7) 

 [[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2) 

 [[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3) 

## Controles que se aplican a PCI DSS v4.0.1
<a name="pci4-controls"></a>

La siguiente lista especifica qué controles del CSPM de Security Hub se aplican a PCI DSS v4.0.1. Para revisar los detalles de un control, seleccione el control.

[[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)

[[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits](acm-controls.md#acm-2)

[[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo](appsync-controls.md#appsync-2)

[[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)](autoscaling-controls.md#autoscaling-3)

[[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] CloudFront las distribuciones deben tener WAF activado](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados](codebuild-controls.md#codebuild-3)

[[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas](dms-controls.md#dms-1)

[[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM](dms-controls.md#dms-10)

[[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado](dms-controls.md#dms-11)

[[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado](dms-controls.md#dms-12)

[[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias](dms-controls.md#dms-6)

[[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro](dms-controls.md#dms-7)

[[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro](dms-controls.md#dms-8)

[[DMS.9] Los puntos finales del DMS deben usar SSL](dms-controls.md#dms-9)

[[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado](documentdb-controls.md#documentdb-2)

[[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas](documentdb-controls.md#documentdb-3)

[[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)

[[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389](ec2-controls.md#ec2-14)

[[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas](ec2-controls.md#ec2-15)

[[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16)

[[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del Servicio de Metadatos de Instancia () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado](ec2-controls.md#ec2-171)

[[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)

[[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IPs interfaces públicas a las de red](ec2-controls.md#ec2-25)

[[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)

[[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-53)

[[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos](ec2-controls.md#ec2-54)

[[EC2.8] Las instancias EC2 deben usar la versión 2 () del servicio de metadatos de instancias IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes](ecr-controls.md#ecr-1)

[[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate](ecs-controls.md#ecs-10)

[[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas](ecs-controls.md#ecs-16)

[[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente](ecs-controls.md#ecs-2)

[[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor](ecs-controls.md#ecs-8)

[[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario](efs-controls.md#efs-4)

[[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público](eks-controls.md#eks-1)

[[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible](eks-controls.md#eks-2)

[[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados](eks-controls.md#eks-3)

[[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría](eks-controls.md#eks-8)

[[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] Los grupos de replicación ElastiCache (Redis OSS) de versiones anteriores deberían tener habilitada la autenticación de Redis OSS](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-12)

[[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto](elb-controls.md#elb-14)

[[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)

[[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos](elb-controls.md#elb-4)

[[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)

[[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas](emr-controls.md#emr-1)

[[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada](emr-controls.md#emr-2)

[[ES.2] Los dominios de Elasticsearch no deben ser de acceso público](es-controls.md#es-2)

[[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos](es-controls.md#es-3)

[[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría](es-controls.md#es-5)

[[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente](es-controls.md#es-8)

[[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada](guardduty-controls.md#guardduty-9)

[[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos](iam-controls.md#iam-3)

[[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola](iam-controls.md#iam-5)

[[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz](iam-controls.md#iam-6)

[[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)

[[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)

[[IAM.9] La MFA debe estar habilitada para el usuario raíz](iam-controls.md#iam-9)

[[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)

[[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)

[[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)

[[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)

[[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos](iam-controls.md#iam-17)

[[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)

[[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)

[[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado](inspector-controls.md#inspector-1)

[[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-2)

[[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-3)

[[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado](inspector-controls.md#inspector-4)

[La rotación de AWS KMS claves [KMS.4] debe estar habilitada](kms-controls.md#kms-4)

[[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público](lambda-controls.md#lambda-1)

[[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos](lambda-controls.md#lambda-2)

[[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias](mq-controls.md#mq-3)

[[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios](msk-controls.md#msk-1)

[[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito](msk-controls.md#msk-3)

[[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas](neptune-controls.md#neptune-3)

[Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software](opensearch-controls.md#opensearch-10)

[Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría](opensearch-controls.md#opensearch-5)

[Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas](rds-controls.md#rds-13)

[[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible](rds-controls.md#rds-2)

[Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos](rds-controls.md#rds-20)

[Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos](rds-controls.md#rds-21)

[Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos](rds-controls.md#rds-22)

[Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-24)

[Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado](rds-controls.md#rds-25)

[[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch](rds-controls.md#rds-34)

[Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias](rds-controls.md#rds-35)

[[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público](redshift-controls.md#redshift-1)

[[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos](redshift-controls.md#redshift-15)

[Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito](redshift-controls.md#redshift-2)

[Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría](redshift-controls.md#redshift-4)

[Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS](route53-controls.md#route53-2)

[[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-1)

[[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos](s3-controls.md#s3-15)

[[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público](s3-controls.md#s3-19)

[[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto](s3-controls.md#s3-22)

[[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto](s3-controls.md#s3-23)

[[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público](s3-controls.md#s3-24)

[[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)

[[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público](s3-controls.md#s3-8)

[[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)

[[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)

[[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión](transfer-controls.md#transfer-2)

[[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado](waf-controls.md#waf-1)

[[WAF.11] El registro de ACL AWS WAF web debe estar habilitado](waf-controls.md#waf-11)

# Estándares administrados por el servicio en el CSPM de Security Hub
<a name="service-managed-standards"></a>

Un estándar administrado por servicios es un estándar de seguridad que otro Servicio de AWS administra, pero que puede ver en Security Hub CSPM. Por ejemplo, un estándar gestionado por [servicios: AWS Control Tower es un estándar gestionado](service-managed-standard-aws-control-tower.md) por servicios que gestiona. AWS Control Tower Un estándar administrado por el servicio se diferencia de un estándar de seguridad que el CSPM de AWS Security Hub administra de las siguientes maneras:
+ **Creación y eliminación de estándares**: puede crear y eliminar un estándar de administración de servicios con la consola o la API del servicio de administración, o con AWS CLI. Hasta que cree el estándar en el servicio que lo administra mediante alguno de esos métodos, el estándar no aparece en la consola del CSPM de Security Hub y no está disponible a través de la API del CSPM de Security Hub ni de la AWS CLI.
+ **No hay habilitación automática de controles**: cuando crea un estándar administrado por el servicio, ni el CSPM de Security Hub ni el servicio que lo administra habilitan automáticamente los controles que corresponden al estándar. Además, cuando el CSPM de Security Hub lanza controles nuevos para el estándar, estos controles tampoco se habilitan de manera automática. Esto se aparta del funcionamiento habitual de los estándares que administra directamente el CSPM de Security Hub. Para obtener más información sobre la forma habitual de configurar controles en el CSPM de Security Hub, consulte [Comprensión de los controles de seguridad en el CSPM de Security Hub](controls-view-manage.md).
+ **Habilitar y deshabilitar los controles**: se recomienda habilitar y deshabilitar los controles en el servicio de administración para evitar desviaciones.
+ **Disponibilidad de los controles**: el servicio de administración elige qué controles están disponibles como parte del estándar de administración del servicio. Los controles disponibles pueden incluir todos o solo un subconjunto de los controles existentes del CSPM de Security Hub.

Después de que el servicio administrador crea el estándar administrado por el servicio y pone a disposición los controles que lo conforman, puede acceder a sus resultados, estados de control y puntaje de seguridad desde la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Es posible que parte o toda esta información también esté disponible en el servicio de administración.

Seleccione un estándar gestionado por el servicio de la siguiente lista para ver más detalles al respecto.

**Topics**
+ [

# Estándar de gestión de servicios: AWS Control Tower
](service-managed-standard-aws-control-tower.md)

# Estándar de gestión de servicios: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Esta sección proporciona información sobre Service-Managed Standard:. AWS Control Tower

## ¿Qué es Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Estándar gestionado por servicios: AWS Control Tower es un estándar gestionado por servicios que AWS Control Tower gestiona y admite un subconjunto de controles de Security Hub. Este estándar está diseñado para los usuarios de AWS Security Hub CSPM y. AWS Control Tower Permite configurar los controles de detección del Security Hub CSPM desde el AWS Control Tower servicio.

Los controles de Detective detectan el incumplimiento de los recursos (por ejemplo, errores de configuración) dentro de su Cuentas de AWS.

**sugerencia**  
Los estándares gestionados por servicios difieren de los estándares que gestiona AWS Security Hub CSPM. Por ejemplo, debe crear y eliminar un estándar administrado por un servicio en el servicio de administración. Para obtener más información, consulte [Estándares administrados por el servicio en el CSPM de Security Hub](service-managed-standards.md).

Cuando habilitas el control CSPM de un Security Hub AWS Control Tower, Control Tower también habilita el Security Hub CSPM para ti en esas cuentas y regiones específicas, si aún no lo ha hecho. En la consola y la API de CSPM de Security Hub, puede ver Service-Managed Standard: junto con otros estándares CSPM de AWS Control Tower Security Hub, una vez que el estándar esté habilitado desde. AWS Control Tower

Para obtener más información sobre este estándar, consulte [Controles del CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) en la *Guía del usuario de AWS Control Tower *.

## Creación del estándar
<a name="aws-control-tower-standard-creation"></a>

Este estándar está disponible en Security Hub CSPM solo si habilita los controles CSPM de Security Hub desde. AWS Control Tower AWS Control Tower crea el estándar cuando se habilita por primera vez un control aplicable mediante uno de los métodos siguientes:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Al habilitar un Security Hub, el control CSPM AWS Control Tower, si aún no lo ha hecho, también habilita el AWS Control Tower Security Hub CSPM para usted en esas cuentas y regiones específicas.

Para identificar un control CSPM de Security Hub por su ID de control en Control Catalog, puede utilizar el campo `Implementation.Identifier` de. AWS Control Tower Este campo se asigna al ID de control CSPM de Security Hub y se puede utilizar para filtrar un ID de control específico. Para recuperar los metadatos de control de un control CSPM específico de Security Hub (por ejemplo, «CodeBuild.1") en AWS Control Tower, puedes usar la API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

No puede ver este estándar ni acceder a él en la consola CSPM de Security Hub, en la API CSPM de Security Hub o AWS CLI sin configurar y habilitar primero los controles CSPM de AWS Control Tower Security Hub AWS Control Tower mediante uno de los métodos anteriores.

[Este estándar solo está disponible en los lugares donde está disponible.Regiones de AWSAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Habilitación y deshabilitación de de los controles en el estándar
<a name="aws-control-tower-standard-managing-controls"></a>

Una vez que haya activado los controles CSPM de Security Hub AWS Control Tower y se haya creado el estándar Service-Managed AWS Control Tower Standard: standard, podrá ver el estándar y sus controles disponibles en Security Hub CSPM.

Cuando Security Hub CSPM agrega nuevos controles al estándar Service-Managed Standard: AWS Control Tower standard, no se habilitan automáticamente para los clientes que tienen el estándar habilitado. Debe activar y desactivar los controles del estándar AWS Control Tower mediante uno de los siguientes métodos:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)and [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (ejecuta los [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandos [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)y)

Al cambiar el estado de activación de un control en AWS Control Tower, el cambio también se refleja en Security Hub CSPM.

Sin embargo, si se desactiva un control en Security Hub CSPM que está activado, se AWS Control Tower produce una desviación del control. El estado del control se muestra como. AWS Control Tower `Drifted` Para resolver este problema, utilice la [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API para restablecer el control que está desviado, o bien seleccionando [Volver a registrar la unidad organizativa](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) en la AWS Control Tower consola, o bien deshabilitando y volviendo a activar el control AWS Control Tower mediante uno de los métodos anteriores.

Si completa las acciones de activación y desactivación, evitará que el control se desvíe. AWS Control Tower 

Al activar o desactivar los controles AWS Control Tower, la acción se aplica a todas las cuentas y regiones reguladas por ellos. AWS Control Tower Si habilita y deshabilita los controles en Security Hub CSPM (no se recomienda para este estándar), la acción solo se aplica a la cuenta corriente y la región.

**nota**  
[La configuración central](central-configuration-intro.md) no se puede usar para administrar Service-Managed Standard:. AWS Control Tower*Solo* puede usar el AWS Control Tower servicio para habilitar y deshabilitar los controles de este estándar.

## Visualización del estado de activación y el estado de control
<a name="aws-control-tower-standard-control-status"></a>

Puede ver el estado de habilitación de un control mediante uno de los métodos siguientes:
+ Consola CSPM de Security Hub, API CSPM de Security Hub o AWS CLI
+ AWS Control Tower consola
+ AWS Control Tower API para ver una lista de los controles habilitados (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI para ver una lista de los controles habilitados (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Un control que se deshabilita AWS Control Tower tiene un estado de activación `Disabled` en Security Hub CSPM, a menos que se habilite explícitamente ese control en Security Hub CSPM.

El CSPM de Security Hub calcula el estado del control según el estado del flujo de trabajo y el estado de cumplimiento de los resultados del control. Para obtener más información sobre el estado de activación y el estado de control, consulte [Cómo revisar los detalles de los controles en el CSPM de Security Hub](securityhub-standards-control-details.md).

En función de los estados de control, Security Hub CSPM calcula una [puntuación de seguridad](standards-security-score.md) para Service-Managed Standard:. AWS Control Tower Este puntaje solo está disponible en el CSPM de Security Hub. Además, solo puede ver los [resultados de control](controls-findings-create-update.md) en el CSPM de Security Hub. La puntuación de seguridad estándar y los resultados de control no están disponibles en. AWS Control Tower

**nota**  
Al habilitar los controles para Service-Managed Standard: AWS Control Tower, Security Hub CSPM puede tardar hasta 18 horas en generar los resultados de los controles que utilizan una regla vinculada a un servicio existente. AWS Config Si ha habilitado otros estándares y controles en el CSPM de Security Hub, es posible que ya cuente con reglas vinculadas al servicio. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

## Eliminación de la norma
<a name="aws-control-tower-standard-deletion"></a>

Puede eliminar este servicio gestionado de forma estándar deshabilitando todos los controles aplicables AWS Control Tower mediante uno de los siguientes métodos:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

Al deshabilitar todos los controles, se elimina el estándar en todas las cuentas administradas y regiones gobernadas de AWS Control Tower. Al eliminar el estándar, se AWS Control Tower elimina de la página de **estándares** de la consola CSPM de Security Hub y ya no se puede acceder a él mediante la API CSPM de Security Hub o. AWS CLI

**nota**  
 La desactivación de todos los controles del estándar en el CSPM de Security Hub no desactiva ni elimina el estándar. 

Al deshabilitar el servicio CSPM de Security Hub, se elimina Service-Managed Standard: AWS Control Tower y cualquier otro estándar que haya activado.

## Búsqueda del formato de campo para Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Cuando cree Service-Managed Standard: AWS Control Tower y habilite los controles para él, empezará a recibir los resultados de control en Security Hub CSPM. El CSPM de Security Hub informa de los resultados de control en el [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). Estos son los valores ASFF del nombre de recurso de Amazon (ARN) de este estándar y `GeneratorId`:
+ **ARN estándar** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Para ver un ejemplo de los resultados de Service-Managed Standard:, consulte. AWS Control Tower[Ejemplos de resultados de controles](sample-control-findings.md)

## Controles que se aplican a Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Estándar gestionado por el servicio: AWS Control Tower admite un subconjunto de controles que forman parte del estándar de mejores prácticas de seguridad AWS fundamentales (FSBP). Elija un control para ver información al respecto, incluidos los pasos para remediar los resultados fallidos.

Para ver qué controles CSPM de Security Hub son compatibles AWS Control Tower, puede usar uno de los siguientes métodos:
+ AWS Consola de Control Catalog, donde puede filtrar `“Control owner = AWS Security Hub”`
+ AWS La API de Control Catalog (llame a la [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) con el filtro `Implementations` para `Types` comprobar si `AWS::SecurityHub::SecurityControl`
+ AWS CLI (ejecute el [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) con filtro para`Implementations`. Ejemplo de comando de la CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Los límites regionales de los controles CSPM de Security Hub, cuando se habilitan mediante el estándar de la Torre de Control, pueden no coincidir con los límites regionales de los controles subyacentes.

En Security Hub CSPM, si las [conclusiones de control consolidadas](controls-findings-create-update.md#consolidated-control-findings) están desactivadas en su cuenta, el `ProductFields.ControlId` campo de las conclusiones generadas utiliza el ID de control estándar. **El ID de control basado en estándares tiene el formato CT. ***ControlId***(por ejemplo, CT. CodeBuild**.1).

Para obtener más información sobre este estándar, consulte [Controles del CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) en la *Guía del usuario de AWS Control Tower *.

# Habilitación de un estándar de seguridad
<a name="enable-standards"></a>

Al habilitar un estándar de seguridad en AWS Security Hub CSPM, Security Hub CSPM crea y habilita automáticamente todos los controles que se aplican al estándar. El CSPM de Security Hub también inicia las comprobaciones de seguridad y empieza a generar resultados para esos controles.

Para optimizar la cobertura y la precisión de los resultados, active y configure el registro de recursos AWS Config antes de activar un estándar. Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos que los controles del estándar verifican. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, consulte [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md).

Después de habilitar un estándar, puede desactivar o volver a habilitar posteriormente controles individuales que se aplican al estándar. Si desactiva un control para un estándar, el CSPM de Security Hub deja de generar resultados para dicho control. Además, el CSPM de Security Hub ignora ese control al calcular la puntuación de seguridad del estándar. La puntuación de seguridad es el porcentaje de controles que superaron la evaluación, en relación con el número total de controles que se aplican al estándar, están habilitados y disponen de datos de evaluación.

Cuando habilita un estándar, el CSPM de Security Hub genera una puntuación de seguridad preliminar para el estándar, normalmente dentro de los primeros 30 minutos tras su primera visita a la página **Resumen** o a la página **Estándares de seguridad**, dentro de la consola del CSPM de Security Hub. Las puntuaciones de seguridad solo se generan para los estándares que están habilitados cuando visita esas páginas en la consola. Además, el registro de recursos debe estar configurado AWS Config para que aparezcan las puntuaciones. En las regiones de China y AWS GovCloud (US) Regions, Security Hub CSPM puede tardar hasta 24 horas en generar una puntuación de seguridad preliminar para un estándar. Después de que el CSPM de Security Hub genera una puntuación preliminar, este actualiza la puntuación cada 24 horas. Para determinar cuándo se actualizó por última vez una puntuación de seguridad, puede consultar una marca de tiempo que el CSPM de Security Hub proporciona para la puntuación. Para obtener más información, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

La forma en que habilita un estándar depende de si utiliza [la configuración centralizada](central-configuration-intro.md) para administrar el CSPM de Security Hub para varias cuentas y Regiones de AWS. Recomendamos utilizar la configuración centralizada si desea habilitar los estándares en entornos con varias cuentas y regiones. Puede utilizar la configuración central si integra Security Hub CSPM con. AWS Organizations Si no utiliza la configuración centralizada, debe habilitar cada estándar por separado en cada cuenta y en cada región.

**Topics**
+ [

## Habilitar un estándar en varias cuentas y Regiones de AWS
](#enable-standards-central-configuration)
+ [

## Habilitar un estándar en una sola cuenta y Región de AWS
](#securityhub-standard-enable-console)
+ [

## Verificación del estado de un estándar
](#standard-subscription-status)

## Habilitar un estándar en varias cuentas y Regiones de AWS
<a name="enable-standards-central-configuration"></a>

Para habilitar y configurar un estándar de seguridad en varias cuentas Regiones de AWS, utilice la [configuración central](central-configuration-intro.md). Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración del CSPM de Security Hub que habilitan uno o varios estándares. A continuación, el administrador puede asociar una política de configuración a las cuentas individuales, a las unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada *región de agregación*, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por habilitar solo el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una unidad organizativa. Para otra unidad organizativa, puede optar por habilitar tanto el estándar FSBP como el estándar Foundations Benchmark v1.4.0 del Center for Internet Security (CIS) AWS . Para obtener información sobre cómo crear una política de configuración que habilite los estándares que especifique, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

Si utiliza la configuración centralizada, el CSPM de Security Hub no habilita automáticamente ningún estándar en las cuentas nuevas o existentes. En su lugar, el administrador del CSPM de Security Hub especifica qué estándares habilitar en las distintas cuentas cuando crea políticas de configuración del CSPM de Security Hub para la organización. El CSPM de Security Hub ofrece una política de configuración recomendada en la cual solo se habilita el estándar FSBP. Para obtener más información, consulte [Tipos de políticas de configuración](configuration-policies-overview.md#policy-types).

**nota**  
El administrador del CSPM de Security Hub puede utilizar políticas de configuración para habilitar cualquier estándar, excepto el [estándar administrado por el servicio:AWS Control Tower](service-managed-standard-aws-control-tower.md). Para habilitar este estándar, el administrador debe usarlo directamente. AWS Control Tower También deben utilizarse AWS Control Tower para activar o desactivar los controles individuales de este estándar para una cuenta gestionada de forma centralizada.

Si desea que determinadas cuentas habiliten y configuren estándares para sus propias cuentas, el administrador del CSPM de Security Hub puede designar esas cuentas como *cuentas autoadministradas*. Las cuentas autoadministradas deben habilitar y configurar los estándares por separado en cada región.

## Habilitar un estándar en una sola cuenta y Región de AWS
<a name="securityhub-standard-enable-console"></a>

Si no utiliza la configuración centralizada o si tiene una cuenta autoadministrada, no puede utilizar políticas de configuración para habilitar estándares de seguridad de manera centralizada en varias cuentas o Regiones de AWS. Sin embargo, puede habilitar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola del CSPM de Security Hub o mediante la API del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estos pasos para habilitar un estándar en una cuenta y región a través de la consola del CSPM de Security Hub.

**Habilitación de un estándar en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar el estándar.

1. En el panel de navegación, elija **Estándares de seguridad**. La página **Estándares de seguridad** muestra todos los estándares que el CSPM de Security Hub admite actualmente. Si ya habilitó un estándar, la sección correspondiente incluye la puntuación de seguridad actual y detalles adicionales sobre el estándar.

1. En la sección del estándar que desea habilitar, elija **Habilitar estándar**.

Para habilitar el estándar en otras regiones, repita los pasos anteriores en cada región adicional.

------
#### [ Security Hub CSPM API ]

Para habilitar un estándar mediante programación en una sola cuenta y región, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html). O bien, si usas AWS Command Line Interface (AWS CLI), ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)comando.

En la solicitud, utilice el parámetro `StandardsArn` para especificar el nombre de recurso de Amazon (ARN) del estándar que desea habilitar. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando habilita el estándar AWS Foundational Security Best Practices (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

¿Dónde *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** está el ARN del estándar FSBP en la región EE.UU. Este (Virginia del Norte) y *us-east-1* es la región en la que se debe habilitar?

Para obtener el ARN de un estándar, utilice la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operación o, si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Para revisar primero la lista de estándares que están habilitados actualmente en la cuenta, puede utilizar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Si utiliza el AWS CLI, puede ejecutar el [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar esta lista.

------

Después de habilitar un estándar, el CSPM de Security Hub inicia las tareas necesarias para habilitar el estándar en la cuenta y en la región especificada. Esto incluye crear todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede consultar el estado del estándar en la cuenta y la región.

## Verificación del estado de un estándar
<a name="standard-subscription-status"></a>

Cuando habilita un estándar de seguridad para una cuenta, el CSPM de Security Hub empieza a crear todos los controles que corresponden a ese estándar en la cuenta. El CSPM de Security Hub también realiza otras tareas necesarias para habilitarlo, como generar una puntuación de seguridad preliminar del estándar. Mientras el CSPM de Security Hub completa estas tareas, el estado del estándar aparece como *Pending* para esa cuenta. Después, el estado cambia a otros valores que puede consultar y supervisar.

**nota**  
Los cambios que haga en controles individuales no modifican el estado general del estándar. Por ejemplo, si vuelve a habilitar un control que antes había desactivado, el estado del estándar no cambia. Lo mismo ocurre si modifica un parámetro de un control que ya está habilitado: el estado del estándar permanece igual.

Para revisar el estado de un estándar desde la consola del CSPM de Security Hub, seleccione **Estándares de seguridad** en el panel de navegación. La página **Estándares de seguridad** muestra todos los estándares que el CSPM de Security Hub admite actualmente. Si el CSPM de Security Hub aún está en proceso de habilitar un estándar, la sección correspondiente indicará que continúa en el proceso de generar la puntuación de seguridad correspondiente al estándar. Si un estándar está habilitado, la sección correspondiente muestra la puntuación actual. Seleccione **Ver resultados** para revisar más detalles, incluido el estado de los controles individuales que se aplican al estándar. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Para verificar el estado de un estándar mediante programación con la API del CSPM de Security Hub, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html). En la solicitud, puede usar de forma opcional el parámetro `StandardsSubscriptionArns` para especificar el nombre de recurso de Amazon (ARN) del estándar cuyo estado desea consultar. Si usa AWS Command Line Interface (AWS CLI), puede ejecutar el [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para comprobar el estado de un estándar. Para indicar el ARN del estándar que desea consultar, utilice el parámetro `standards-subscription-arns`. Para determinar qué ARN especificar, puede utilizar la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operación o, para ello AWS CLI, ejecutar el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)comando.

Si la solicitud se completa correctamente, el CSPM de Security Hub responde con una matriz de objetos `StandardsSubscription`. Una *suscripción estándar* es un AWS recurso que Security Hub CSPM crea en una cuenta cuando se habilita un estándar para la cuenta. Cada objeto `StandardsSubscription` proporciona información sobre un estándar que está habilitado actualmente o que está en proceso de habilitarse o desactivarse para la cuenta. Dentro de cada objeto, el campo `StandardsStatus` indica el estado actual del estándar para la cuenta.

El estado de un estándar (`StandardsStatus`) puede ser uno de los siguientes:

**PENDING**  
El CSPM de Security Hub realiza tareas para habilitar el estándar en la cuenta. Esto incluye crear los controles que se aplican al estándar y generar una puntuación de seguridad preliminar. El CSPM de Security Hub puede tardar varios minutos en completar todas estas tareas. Un estándar también puede tener este estado si ya está habilitado para la cuenta y el CSPM de Security Hub se encuentra en proceso de agregar controles nuevos al estándar.  
Si un estándar tiene este estado, es posible que no pueda obtener los detalles de los controles individuales que se aplican al estándar. Además, es posible que no pueda configurar o desactivar controles individuales del estándar. Por ejemplo, si intenta desactivar un control mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html), se producirá un error.  
Para saber si puede configurar o administrar controles individuales del estándar, consulte el valor del campo `StandardsControlsUpdatable`. Si el valor de este campo es `READY_FOR_UPDATES`, puede comenzar a administrar los controles individuales del estándar. De lo contrario, espere a que el CSPM de Security Hub complete las tareas adicionales necesarias para habilitar el estándar.

**READY**  
El estándar está habilitado actualmente para la cuenta. El CSPM de Security Hub puede ejecutar comprobaciones de seguridad y generar resultados para todos los controles que se aplican al estándar y que están habilitados. El CSPM de Security Hub también puede calcular una puntuación de seguridad para el estándar.  
Si un estándar tiene este estado, puede consultar los detalles de los controles individuales que se aplican al estándar. Además, puede configurar, desactivar o volver a habilitar los controles. También puede desactivar el estándar.

**INCOMPLETE**  
El CSPM de Security Hub no pudo habilitar por completo el estándar para la cuenta. El CSPM de Security Hub no puede ejecutar comprobaciones de seguridad ni generar resultados para los controles que se aplican al estándar y que están habilitados actualmente. Además, el CSPM de Security Hub no puede calcular una puntuación de seguridad para el estándar.  
Para determinar por qué el estándar no se habilitó por completo, consulte la información en la matriz `StandardsStatusReason`. Esta matriz especifica los problemas que impidieron que el CSPM de Security Hub habilitara el estándar. Si ocurrió un error interno, intente habilitar nuevamente el estándar para la cuenta. Para otros tipos de problemas, [compruebe la configuración. AWS Config](securityhub-setup-prereqs.md) También puede [desactivar controles individuales](disable-controls-overview.md) que no desee evaluar, o desactivar por completo el estándar.

**DELETING**  
El CSPM de Security Hub está en proceso de completar una solicitud para desactivar el estándar de la cuenta. Esto incluye desactivar los controles que se aplican al estándar y eliminar la puntuación de seguridad asociada. El CSPM de Security Hub puede tardar varios minutos en completar esta solicitud.  
Si un estándar tiene este estado, no puede volver a habilitarlo ni intentar desactivarlo otra vez para la cuenta. El CSPM de Security Hub debe concluir primero la solicitud actual. Además, no puede consultar los detalles de los controles individuales que se aplican al estándar ni administrarlos mientras el estándar está en este estado.

**FAILED**  
El CSPM de Security Hub no pudo desactivar el estándar para la cuenta. Ocurrieron uno o más errores cuando el CSPM de Security Hub intentó desactivar el estándar. Además, el CSPM de Security Hub no puede calcular una puntuación de seguridad para el estándar.  
Para determinar por qué el estándar no se desactivó por completo, consulte la información en la matriz `StandardsStatusReason`. Esta matriz especifica los problemas que impidieron que el CSPM de Security Hub desactivara el estándar.  
Si un estándar tiene este estado, no puede consultar los detalles de los controles individuales que se aplican al estándar ni administrarlos. Sin embargo, puede volver a habilitar el estándar para la cuenta. Si resuelve los problemas que impidieron que el CSPM de Security Hub desactivara el estándar, también puede intentar desactivar el estándar nuevamente.

Si el estado de un estándar es `READY`, el CSPM de Security Hub ejecuta comprobaciones de seguridad y genera resultados para todos los controles que se aplican al estándar y que están habilitados. Para otros estados, el CSPM de Security Hub puede ejecutar comprobaciones y generar resultados solo para algunos controles habilitados, pero no para todos. La generación o actualización de resultados de controles puede tardar hasta 24 horas. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

# Revisión de los detalles de un estándar de seguridad
<a name="securityhub-standards-view-controls"></a>

Después de habilitar un estándar de AWS seguridad en Security Hub CSPM, puede usar la consola para revisar los detalles del estándar. En la consola de , la página de detalles de un estándar incluye la siguiente información:
+ El puntaje de seguridad actual del estándar.
+ Una tabla con los controles que se aplican al estándar.
+ Las estadísticas agregadas de los controles que se aplican al estándar.
+ Un resumen visual del estado de los controles que se aplican al estándar.
+ Un resumen visual de las comprobaciones de seguridad para los controles habilitados que se aplican al estándar. Si se integra con AWS Organizations, los controles que están habilitados en al menos una cuenta de la organización se consideran habilitados.

Para revisar estos detalles, seleccione **Estándares de seguridad** en el panel de navegación de la consola. Luego, en la sección del estándar, seleccione **Ver salidas**. Para un análisis más detallado, puede filtrar y ordenar los datos y profundizar en los detalles de los controles individuales que se aplican al estándar.

**Topics**
+ [

## Descripción de la puntuación de seguridad del estándar
](#standard-details-overview)
+ [

## Revisión de los controles de un estándar
](#standard-controls-list)

## Descripción de la puntuación de seguridad del estándar
<a name="standard-details-overview"></a>

En la consola CSPM de AWS Security Hub, la página de detalles de un estándar muestra la puntuación de seguridad del estándar. La puntuación es el porcentaje de controles que superaron la evaluación, en relación con el número total de controles que se aplican al estándar, están habilitados y cuentan con datos de evaluación. Debajo de la puntuación se muestra un gráfico que resume las comprobaciones de seguridad de los controles habilitados que se aplican al estándar. Este resumen incluye la cantidad de comprobaciones de seguridad aprobadas y fallidas. En el caso de las cuentas de administrador, la puntuación y el gráfico estándar se agregan en la cuenta de administrador y en todas las cuentas de los miembros. Para revisar las comprobaciones de seguridad fallidas de los controles con una gravedad específica, seleccione la gravedad correspondiente.

Cuando habilita un estándar, el CSPM de Security Hub genera una puntuación de seguridad preliminar para el estándar, normalmente dentro de los primeros 30 minutos desde su primera visita a la página **Resumen** o a la página **Estándares de seguridad** en la consola del CSPM de Security Hub. Las puntuaciones solo se generan para los estándares que están habilitados cuando visita esas páginas. Además, se debe configurar el registro de AWS Config recursos para que aparezcan las puntuaciones. En las regiones de China y AWS GovCloud (US) Regions, Security Hub CSPM puede tardar hasta 24 horas en generar una puntuación preliminar. Después de que el CSPM de Security Hub genera una puntuación preliminar para un estándar, actualiza la puntuación cada 24 horas. Para obtener más información, consulte [Calcular las puntuaciones de seguridad](standards-security-score.md).

Todos los datos de las páginas de detalles **de las normas de seguridad** son específicos de las actuales, a Región de AWS menos que se establezca una región de agregación. Si configura una región de agregación, las puntuaciones de seguridad se aplican en todas las regiones vinculadas e incluyen los resultados de todas esas regiones. Además, el estado de cumplimiento de los controles refleja los resultados de las regiones vinculadas, y la cantidad de comprobaciones de seguridad incluye los resultados provenientes de esas regiones.

## Revisión de los controles de un estándar
<a name="standard-controls-list"></a>

Cuando utilice la consola CSPM de AWS Security Hub para revisar los detalles de un estándar que haya activado, puede revisar una tabla de controles de seguridad que se aplican al estándar. Para cada control, la tabla incluye la siguiente información:
+ El identificador y el título del control.
+ El estado del control. Para obtener más información, consulte [Evaluación del estado de cumplimiento y del estado del control](controls-overall-status.md).
+ La gravedad asignada al control.
+ La cantidad de comprobaciones fallidas y la cantidad total de comprobaciones. Si corresponde, el campo **Comprobaciones fallidas** también especifica la cantidad de resultados con un estado de **Desconocido**.
+ Si el control admite parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).

El CSPM de Security Hub actualiza los estados de los controles y la cantidad de comprobaciones de seguridad cada 24 horas. En la parte superior de la página, una marca de tiempo indica cuándo el CSPM de Security Hub actualizó estos datos por última vez.

Para las cuentas de administrador, los estados de los controles y la cantidad de comprobaciones de seguridad se agregan entre la cuenta de administrador y todas las cuentas de miembro. La cantidad de controles habilitados incluye aquellos que están habilitados para el estándar en la cuenta de administrador o en al menos una cuenta de miembro. La cantidad de controles desactivados incluye aquellos que están desactivados para el estándar en la cuenta de administrador y en todas las cuentas de miembro.

Puede filtrar la tabla de controles que se aplican al estándar. Si utiliza las opciones **Filtrar por** junto a la tabla, puede elegir ver únicamente los controles habilitados o únicamente los controles desactivados del estándar. Si muestra solo los controles habilitados, puede filtrar aún más la tabla por estado del control. Luego se puede centrar en los controles que tienen un estado específico. Además de las opciones **Filtrar por**, puede escribir criterios de filtrado en el cuadro **Filtrar controles**. Por ejemplo, puede filtrar por ID o título de control.

Elija el método de acceso que prefiera. Luego siga los pasos para revisar los controles que se aplican a un estándar que haya habilitado.

------
#### [ Security Hub CSPM console ]

**Para revisar los controles de un estándar habilitado**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Elija **Estándares de seguridad** en el panel de navegación.

1. En la sección del estándar, seleccione **Ver resultados**.

La tabla al final de la página muestra todos los controles que se aplican al estándar. Puede filtrar y ordenar la tabla. También puede descargar la página actual de la tabla como un archivo CSV. Para hacerlo, seleccione **Descargar** encima de la tabla. Si aplicó un filtro a la tabla, el archivo descargado solo incluirá los controles que coinciden con la configuración del filtro.

------
#### [ Security Hub CSPM API ]

**Para revisar los controles de un estándar habilitado**

1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) de la API del CSPM de Security Hub. Si está utilizando el AWS CLI, ejecute el [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)comando.

   Especifique el nombre de recurso de Amazon (ARN) del estándar cuyos controles desea revisar. ARNs Para obtener los estándares, utilice la [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operación o ejecute el comando [describe-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Si no especifica el ARN de un estándar, el CSPM de Security Hub devuelve todo el control de seguridad. IDs

1. Utilice la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)operación de la API CSPM de Security Hub o ejecute el [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)comando. Esta operación indica en qué estándares está activado un control.

   Identifique el control proporcionando el ARN o ID del control de seguridad. Los parámetros de paginación son opcionales.

El siguiente ejemplo indica en qué estándares está habilitado el control Config. 1.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Desactivación de estándares de seguridad habilitados automáticamente
<a name="securityhub-auto-enabled-standards"></a>

Si la organización no utiliza la configuración centralizada, emplea un tipo de configuración denominada *configuración local*. Con la configuración local, el CSPM de AWS Security Hub puede habilitar automáticamente los estándares de seguridad predeterminados para las nuevas cuentas de miembro cuando esas cuentas se integran a la organización. Todos los controles que se aplican a estos estándares predeterminados también se habilitan automáticamente.

Actualmente, los estándares de seguridad predeterminados son el estándar AWS Foundational Security Best Practices y el estándar AWS Foundations Benchmark v1.2.0 del Center for Internet Security (CIS). Para obtener información sobre estos estándares, consulte [Referencia de estándares para el CSPM de Security Hub](standards-reference.md).

Si prefiere habilitar manualmente los estándares de seguridad para las nuevas cuentas de miembro, puede desactivar la habilitación automática de los estándares predeterminados. Puede hacerlo solo si se integra con la configuración local AWS Organizations y la utiliza. Si utiliza la configuración centralizada, en su lugar puede crear una política de configuración que habilite los estándares predeterminados y asociar esa política con la raíz. Todas las cuentas de su organización y OUs , a continuación, heredan esta política de configuración, a menos que estén asociadas a una política diferente o se administren automáticamente. Si no se integra con AWS Organizations, puede deshabilitar un estándar predeterminado al habilitar inicialmente el Security Hub CSPM o una versión posterior. Para aprender a hacerlo, consulte [Desactivación de un estándar](disable-standards.md).

Para desactivar la habilitación automática de los estándares predeterminados para las nuevas cuentas de miembro, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

Siga estos pasos para desactivar la habilitación automática de los estándares predeterminados a través de la consola del CSPM de Security Hub.

**Desactivación de la habilitación automática de estándares predeterminados**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión en las credenciales de una cuenta del administrador.

1. En el panel de navegación, en **Configuración**, elija **Configuración**.

1. En la sección **Información general**, seleccione **Editar**.

1. En **Configuración de nuevas cuentas**, desmarque la casilla **Habilitar los estándares de seguridad predeterminados**.

1. Elija **Confirmar**.

------
#### [ Security Hub CSPM API ]

Para desactivar la habilitación automática de los estándares predeterminados mediante programación, desde la cuenta de administrador del CSPM de Security Hub utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) de la API del CSPM de Security Hub. En la solicitud, especifique `NONE` para el parámetro `AutoEnableStandards`. 

Si está utilizando el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando para desactivar la activación automática de los estándares predeterminados. En el parámetro `auto-enable-standards`, especifique `NONE`. Por ejemplo, el siguiente comando habilita automáticamente el CSPM de Security Hub para las nuevas cuentas de miembro y desactiva la habilitación automática de los estándares predeterminados para esas cuentas.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Deshabilitación de un estándar de seguridad
<a name="disable-standards"></a>

Al deshabilitar un estándar de seguridad en AWS Security Hub CSPM, ocurre lo siguiente:
+ Todos los controles que se aplican al estándar se desactivan, a menos que estén asociados a otro estándar que permanezca habilitado.
+ Ya no se ejecutan comprobaciones de seguridad para los controles desactivados y no se generan resultados adicionales para esos controles.
+ Los resultados existentes de los controles desactivados se archivan automáticamente después de aproximadamente 3 a 5 días.
+ AWS Config se eliminan las reglas que Security Hub CSPM creó para los controles deshabilitados.

Por lo general, la eliminación de AWS Config las reglas correspondientes se produce a los pocos minutos de haber desactivado un estándar. aunque en algunos casos puede tardar más. Si la primera solicitud para eliminar las reglas falla, el CSPM de Security Hub vuelve a intentarlo cada 12 horas. Sin embargo, si desactivó el CSPM de Security Hub o no tiene otros estándares habilitados, el CSPM de Security Hub no puede volver a intentarlo, lo que significa que no podrá eliminar las reglas. Si esto ocurre y necesita eliminar las reglas, póngase en contacto con AWS Support.

**Topics**
+ [

## Deshabilitar un estándar en varias cuentas y Regiones de AWS
](#disable-standards-central-configuration)
+ [

## Desactivar un estándar en una sola cuenta y Región de AWS
](#securityhub-standard-disable-console)

## Deshabilitar un estándar en varias cuentas y Regiones de AWS
<a name="disable-standards-central-configuration"></a>

Para deshabilitar un estándar de seguridad en varias cuentas Regiones de AWS, utilice la [configuración central](central-configuration-intro.md). Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración del CSPM de Security Hub que desactivan uno o varios estándares. A continuación, el administrador puede asociar una política de configuración a las cuentas individuales, a las unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada *región de agregación*, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por desactivar el estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) en una unidad organizativa. Para otra unidad organizativa, podría desactivar tanto el estándar PCI-DSS como el estándar NIST SP 800-53 Rev. 5. Para obtener información sobre cómo crear una política de configuración que habilite o desactive los estándares que especifique, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**nota**  
El administrador del CSPM de Security Hub puede usar políticas de configuración para desactivar cualquier estándar, excepto el [estándar administrado por el servicio:AWS Control Tower](service-managed-standard-aws-control-tower.md). Para deshabilitar esta norma, el administrador debe utilizarla AWS Control Tower directamente. También se deben usar AWS Control Tower para deshabilitar o habilitar los controles individuales de este estándar para una cuenta administrada de forma centralizada.

Si desea que determinadas cuentas configuren o desactiven estándares para sus propias cuentas, el administrador del CSPM de Security Hub puede designar esas cuentas como *cuentas autoadministradas*. Las cuentas autoadministradas deben desactivar los estándares por separado en cada región.

## Desactivar un estándar en una sola cuenta y Región de AWS
<a name="securityhub-standard-disable-console"></a>

Si no utiliza la configuración centralizada o si tiene una cuenta autoadministrada, no puede usar políticas de configuración para desactivar estándares de seguridad de forma centralizada en varias cuentas o Regiones de AWS. Sin embargo, puede desactivar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola del CSPM de Security Hub o mediante la API del CSPM de Security Hub. 

------
#### [ Security Hub CSPM console ]

Siga estos pasos para desactivar un estándar en una cuenta y región con la consola del CSPM de Security Hub.

**Deshabilitación de un estándar en una cuenta y región**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee desactivar el estándar.

1. En el panel de navegación, elija **Estándares de seguridad**.

1. En la sección del estándar que desea desactivar, seleccione **Desactivar estándar**.

Para desactivar el estándar en regiones adicionales, repita los pasos anteriores en cada región adicional.

------
#### [ Security Hub CSPM API ]

Para desactivar un estándar mediante programación en una sola cuenta y región, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html). O bien, si usas AWS Command Line Interface (AWS CLI), ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)comando.

En la solicitud, utilice el parámetro `StandardsSubscriptionArns` para especificar el nombre de recurso de Amazon (ARN) del estándar que desea desactivar. Si utiliza el AWS CLI, utilice el `standards-subscription-arns` parámetro para especificar el ARN. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando desactiva el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una cuenta (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

¿Dónde *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* está el ARN del estándar FSBP para la cuenta en la región EE.UU. Este (Virginia del Norte) y *us-east-1* es la región en la que se debe deshabilitar?

Para obtener el ARN de un estándar, puede usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html). Esta operación recupera información sobre los estándares que están habilitados actualmente en la cuenta. Si utilizas el AWS CLI, puedes ejecutar el [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)comando para recuperar esta información.

------

Después de desactivar un estándar, el CSPM de Security Hub comienza a ejecutar tareas para desactivar el estándar en la cuenta y en la región especificada. Esto incluye desactivar todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede [consultar el estado del estándar](enable-standards.md#standard-subscription-status) en la cuenta y la región.