Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Conformité des configurations dans Accelerate
AMS Accelerate vous aide à configurer vos ressources selon des normes élevées en matière de sécurité et d'intégrité opérationnelle, et à respecter les normes sectorielles suivantes :
Centre pour la sécurité Internet (CIS)
Cadre de sécurité cloud (CSF) du National Institute of Standards and Technology (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI)
Pour ce faire, nous déployons l'ensemble de nos AWS Config règles de conformité définies sur votre compte, voirBibliothèque de règles de configuration AMS. Une AWS Config règle représente les configurations souhaitées pour une ressource et est évaluée par rapport aux modifications de configuration apportées aux paramètres de vos AWS ressources. Toute modification de configuration déclenche un grand nombre de règles pour tester la conformité. Supposons, par exemple, que vous créiez un compartiment Amazon S3 et que vous le configuriez pour qu'il soit lisible par le public, en violation des normes NIST. La bucket-public-read-prohibited règle des ams-nist-cis-s 3 détecte la violation et indique que votre compartiment S3 n'est pas conforme dans votre rapport de configuration. Comme cette règle appartient à la catégorie de correction automatique des incidents, elle crée immédiatement un rapport d'incident vous alertant du problème. D'autres violations de règles plus graves peuvent amener AMS à résoudre automatiquement le problème. Consultez Réponses aux violations dans Accelerate.
Important
Si vous souhaitez que nous fassions davantage, par exemple, si vous souhaitez qu'AMS remédie à une violation pour vous, quelle que soit sa catégorie de correction, soumettez une demande de service demandant à AMS de corriger les ressources non conformes pour vous. Dans la demande de service, incluez un commentaire tel que « Dans le cadre de la correction des règles de configuration AMS, veuillez corriger les ressources non conformesRESOURCE_ARNS_OR_IDs, configurez la règle CONFIG_RULE_NAME dans le compte » et ajoutez les entrées requises pour remédier à la violation.
Si vous souhaitez que nous fassions moins, par exemple, si vous ne voulez pas que nous prenions des mesures sur un compartiment S3 spécifique qui nécessite un accès public dès sa conception, vous pouvez créer des exceptions, voirCréation d'exceptions aux règles dans Accelerate.
Bibliothèque de règles de configuration AMS
Accelerate déploie une bibliothèque de règles de configuration AMS pour protéger votre compte. Ces règles de configuration commencent params-. Vous pouvez consulter les règles de votre compte et leur état de conformité à partir de la AWS Config console, de la AWS CLI ou de l' AWS Config API. Pour des informations générales sur l'utilisation AWS Config, consultez la section ViewingConfiguration Conformité.
Note
Pour les régions cloud opt-in Régions AWS et Gov, nous ne déployons qu'un sous-ensemble des règles de configuration en raison des restrictions régionales. Vérifiez la disponibilité des règles dans les régions en vérifiant le lien associé à l'identifiant dans le tableau des règles de configuration AMS Accelerate.
Vous ne pouvez supprimer aucune des règles de configuration AMS déployées.
Tableau des règles
Téléchargez sous le nom ams_config_rules.zip.
| Nom de règle | Service | Déclencheur | Action | Frameworks |
|---|---|---|---|---|
| ams-nist-cis-guardduty-activé-centralisé | GuardDuty | Périodique | Corriger | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164.312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 2.2, 3.4, 8.2.1 ; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | Périodique | Corriger | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,312 (b) ; PCI : 2,2, 10,10,3,2, 10,3,3, 10,3,6 ; |
| ams-eks-secrets-encrypted | EKS | Périodique | Incident | CIS : NON ; NIST-CSF : NON ; HIPAA : NON ; PCI : NON ; |
| ams-eks-endpoint-no-accès public | EKS | Périodique | Incident | CIS : NON ; NIST-CSF : NON ; HIPAA : NON ; PCI : NON ; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | Changements de configuration | Incident | CIS : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164.312 (e) (1) ; PCI : 1.2,1.3,2.1,2.1,1.3.1,1.3.2,2.2.2 ; |
| ams-nist-cis-iam-politique de mot de passe | IAM | Périodique | Incident | CIS : NA ; NIST-CSF : PR.AC-1, PR.AC-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) (a) (4) (ii) (A) ,164308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C) ,164312 (a) (1) ; PCI : 7.1.2, 7.1.3, 7.2.1, 7.2.2 ; |
| ams-nist-cis-iam-root-access-key-check | IAM | Périodique | Incident | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.PT-3 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (a) 4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2.2, 7.1.2, 7.1.3, 7.2.1, 7.2.2 ; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | Périodique | Incident | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) (a) 64,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2.2, 7.1.2, 7.1.3, 7.2.1, 7.2.2 ; |
| ams-nist-cis-restricted-ssh | Groupes de sécurité | Changements de configuration | Incident | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2,2, 7,2,1, 8,1.4 ; |
| ams-nist-cis-restricted-ports communs | Groupes de sécurité | Changements de configuration | Incident | CEI : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i) ,164308 (a) (4) (ii)) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 3,2, 2.2.2 ; |
| ams-nist-cis-s3 account-level-public-access blocs | S3 | Changements de configuration | Incident | CEI : CIS.9, CIS.12, CIS.14 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1.2,1.2,1.3,1.3,1.3.2,1.3.2,1.3,4, 1,3,6, 2,2, 2.2.2 ; |
| ams-nist-cis-s3- bucket-public-read-prohibited | S3 | Changements de configuration | Incident | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,2, 1,1.3,1, 1,3,2, 1,3,4, 1,3,4, 3,6, 2,2.2 ; |
| ams-nist-cis-s3- bucket-public-write-prohibited | S3 | Changements de configuration | Incident | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,2, 1,1.3,1, 1,3,2, 1,3,4, 1,3,4, 3,6, 2,2.2 ; |
| ams-nist-cis-s3 bucket-server-side-encryption - activé | S3 | Changements de configuration | Incident | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (c) (2), 164,312 (e) (2) (ii) ; PCI : 2,2 3,4, 10.5, 8.2.1 ; |
| ams-nist-cis-securityhub-activé | Security Hub | Périodique | Incident | CEI : CIS.3, CIS.4, CIS.6, CIS.12, CIS.16, CIS.19 ; NIST-CSF : PR.DS-5, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : NA ; |
| ams-nist-cis-ec2- instance-managed-by-systems gérants | EC2 | Changements de configuration | Rapport | CIS : CIS.2, CIS.5 ; NIST-CSF : ID.AM-2, PR.IP-1 ; HIPAA : 164.308 (a) (5) (ii) (B) ; PCI : 2,4 ; |
| ams-nist-cis-cloudtrail-activé | CloudTrail | Périodique | Rapport | CIS : CIS.16, CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,308 (a) (5) (ii) (C), 164,312 (b) ; PCI : 10,10,12,10,1 2, 10,2,3, 10,2,4, 10,2,5, 10,2,6, 10,2,7, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6 ; |
| ams-nist-cis-access-touches pivotantes | IAM | Périodique | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1 ; HIPAA : 164,308 (a) (4) (ii) (B) ; PCI : 2,2 ; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.AC-5, PR.PT-4 ; HIPAA : NA ; PCI : 4.1 ; |
| ams-nist-cis-alb- http-to-https-redirection -vérifier | ALB | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 2,3, 4.1, 8.2.1 ; |
| ams-nist-cis-api- gw-cache-enabled-and crypté | API Gateway | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4 ; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | Changements de configuration | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : 10.1, 10.3.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4 ; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : PR.PT-1, PR.PT-5 ; HIPAA : 164.312 (b) ; PCI : 2.2 ; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 2,2 3,4, 10,5 ; |
| ams-nist-cis-cloud- trail-log-file-validation activé | CloudTrail | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : PR.DS-6 ; HIPAA : 164,312 (c) (1), 164,312 (c) (2) ; PCI : 2,2, 10,5, 11,5, 10,5,2,10,5.5 ; |
| ams-nist-cis-cloudtrail-s3-dataevents activé | CloudTrail | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,312 (b) ; PCI : 2,2,10,10,10,10.2,10.2.3,10.3.1,10.3.130.3,10.3.4,10.3.10.3.4,10.3.10.3.10.3.10.3.10,3,6 ; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | Changements de configuration | Rapport | CEI : CIS.13, CIS.14 ; NIST-CSF : NA ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4 ; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | Périodique | Rapport | CEI : CIS.13, CIS.14 ; NIST-CSF : NA ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4 ; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | Changements de configuration | Rapport | CIS : CIS.18 ; NIST-CSF : PR.DS-5 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 8.2.1 ; |
| ams-nist-cis-codebuild- project-source-repo-url -vérifier | CodeBuild | Changements de configuration | Rapport | CIS : CIS.18 ; NIST-CSF : PR.DS-5 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 8.2.1 ; |
| ams-nist-cis-db-instance-backup-enabled | RDS | Changements de configuration | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : NA ; |
| ams-nist-cis-dms-replication-not-public | DMS | Périodique | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ; |
| ams-nist-dynamodb-autoscaling-activé | DynamoDB | Périodique | Rapport | CIS : NA ; NIST-CSF : ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C) ; PCI : NA ; |
| ams-nist-cis-dynamodbcompatible -pitr | DynamoDB | Périodique | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : NA ; |
| ams-nist-dynamodb-throughput-contrôle des limites | DynamoDB | Périodique | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.312 (b) ; PCI : NA ; |
| ams-nist-ebs-optimized-instance | EBS | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.308 (a) (7) (i) ; PCI : NA ; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | Périodique | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ; |
| ams-nist-ec2- instance-detailed-monitoring-enabled | EC2 | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : DE.AE-1, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : NA ; |
| ams-nist-cis-ec2- instance-no-public-ip | EC2 | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 1,3,4, 1,3,4, 3,6, 2,2.2 ; |
| ams-nist-cis-ec2- managedinstance-association-compliance-status -vérifier | EC2 | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (a) 1) ,164.312 (e) (1) ; PCI : 1.2,1.3,1.3,1.3,1.3.2,1.3.2,1.3.4, 1.3.6, 2.2.2 ; |
| ams-nist-cis-ec2- managedinstance-patch-compliance-status -vérifier | EC2 | Changements de configuration | Rapport | CIS : CIS.2, CIS.5 ; NIST-CSF : ID.AM-2, PR.IP-1 ; HIPAA : 164.308 (a) (5) (ii) (B) ; PCI : 6,2 ; |
| ams-nist-cis-ecinstance à 2 arrêts | EC2 | Périodique | Rapport | CIS : CIS.2 ; NIST-CSF : ID.AM-2, PR.IP-1 ; HIPAA : NON ; PCI : NON ; |
| ams-nist-cis-ec2- volume-inuse-check | EC2 | Changements de configuration | Rapport | CIS : CIS.2 ; NIST-CSF : PR.IP-1 ; HIPAA : NON ; PCI : NON ; |
| ams-nist-cis-efs-chèque crypté | EFS | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-nist-cis-eip-attaché | EC2 | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-nist-cis-elasticache- redis-cluster-automatic-backup -vérifier | ElastiCache | Périodique | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : NA ; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | Périodique | Rapport | CIS : CIS.14, CIS.13 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) 64,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 3,4, 1,3,4, 1,3,6, 2,2.2 ; |
| ams-nist-elb-deletion-activé par la protection | ELB | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 4.1, 8.2.1 ; |
| ams-nist-cis-elb-activé pour la journalisation | ELB | Changements de configuration | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : 10.1, 10.3.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4 ; |
| ams-nist-cis-emr-compatible avec Kerberos | EMR | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : 10.1, 10.3.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4 ; |
| ams-nist-cis-emr-master-no-public-ip | EMR | Périodique | Rapport | CIS : CIS.14, CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.AC-6 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) 4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 7.2.1 ; |
| ams-nist-cis-encrypted-volumes | EBS | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (a) 1) ,164.312 (e) (1) ; PCI : 1.2,1.3,1.3,1.3,1.3.2,1.3.2,1.3.4, 1.3.6, 2.2.2 ; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | Périodique | Rapport | CEI : CIS.12, CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8 ; NIST-CSF : DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1 ; HIPAA : 164.308 (a) (5)) (ii) (C), 164,308 (a) (6) (ii), 164,312 (b) ; PCI : 6,1, 11,4, 5,1,2 ; |
| ams-nist-iam-group-has-users-check | IAM | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : PR.AC-4, PR.AC-1 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) (a) (4) (ii) (A) ,164308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C) ,164312 (a) (1) ; PCI : 7.1.2, 7.1.3, 7.2.1, 7.2.2 ; |
| ams-nist-cis-iam- policy-no-statements-with -admin-access | IAM | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-6, PR.AC-7 ; HIPAA : 164,308 (a) (4) (ii) (B), 164,308 (a) (5) (ii) (D), 164,312 (d) ; PCI : 8.2.3, 8.2.4, 8.2.5 ; |
| ams-nist-cis-iam-user-group-membership-check | IAM | Changements de configuration | Rapport | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.PT-3 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C) ,164312 (a) (1), 164,312 (a) (2) (i) ; PCI : 2.2, 7.1.2, 7.2.1, 8.1.1 ; |
| ams-nist-cis-iam-user-no-policies-check | IAM | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-7 ; HIPAA : 164,308 (a) (4) (ii) (B), 164,312 (d) ; PCI : 8,3 ; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | Périodique | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.PT-3 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2,2, 7,1,2, 7,1,3, 7,2,1, 7,2.2 ; |
| ams-nist-cis-ec2- instances-in-vpc | EC2 | Changements de configuration | Rapport | CEI : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i) ,164308 (a) (4) (ii)) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 3,2, 2.2.2 ; |
| ams-nist-cis-internet-gateway-authorized-vpc-only | Internet Gateway | Périodique | Rapport | CIS : CIS.9, CIS.12 ; NIST-CSF : NON ; HIPAA : NON ; PCI : NON ; |
| ams-nist-cis-kms- cmk-not-scheduled-for -suppression | KMS | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : NA ; PCI : 3.5, 3.6 ; |
| ams-nist-lambda-concurrency-vérifier | Lambda | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.312 (b) ; PCI : NA ; |
| ams-nist-lambda-dlq-vérifier | Lambda | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.312 (b) ; PCI : NA ; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) 64,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 1,3,4, 2,2.2 ; |
| ams-nist-cis-lambda-intérieur-vpc | Lambda | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (a) 1) ,164312 (e) (1) ; PCI : 1,2, 1.3, 1.3.1, 1.3.2, 1.3.2, 1.3.4, 2.2.2 ; |
| ams-nist-cis-mfa- enabled-for-iam-console -accès | IAM | Périodique | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-7 ; HIPAA : 164.312 (d) ; PCI : 2.2, 8.3 ; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,312 (b) ; PCI : 2,2,10,10,10,2,10,3,10,2,4, 10,2,5, 10,2,6, 10,2,7, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6 ; |
| ams-nist-rds-enhanced-activé pour la surveillance | RDS | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : NA ; |
| ams-nist-cis-rds-instance-public-access-check | RDS | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ; |
| ams-nist-rds-multi-az-support | RDS | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C) ; PCI : NA ; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ; |
| ams-nist-cis-rds-stockage crypté | RDS | Changements de configuration | Rapport | CIS : CIS.13, CIS.5, CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (b), 164,312 (e) (2) (ii) ; PCI : 3,4,10,10,10,10,10,10,10,10,10,10,2,10,2,10,2,3, 10,2,5, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6, 8,2.1 ; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | Changements de configuration | Rapport | CIS : CIS.6, CIS.13, CIS.5 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (b), 164,312 (e) (2) (ii) ; PCI : 3,4, 8,2.1, 10,2,11,2 3, 10,2,4, 10,2,5, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6 ; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 2.3, 4.1 ; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | Périodique | Rapport | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-7 ; HIPAA : 164.312 (d) ; PCI : 2.2, 8.3 ; |
| ams-nist-cis-root-account-mfa-enabled | IAM | Périodique | Rapport | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-7 ; HIPAA : 164.312 (d) ; PCI : 2.2, 8.3 ; |
| ams-nist-cis-s3- bucket-default-lock-enabled | S3 | Changements de configuration | Rapport | CEI : CIS.14, CIS.13 ; NIST-CSF : ID.BE-5, PR.PT-5, RC.RP-1 ; HIPAA : NON ; PCI : NON ; |
| ams-nist-cis-s3- bucket-logging-enabled | S3 | Changements de configuration | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164.312 (b) ; PCI : 2.2,10,10.2,10.2,10.2.3,10.2,3,10.2.7,10.3.1,13.2,10.2,10.3, 10,3,4, 10,3,5, 10,3,6 ; |
| ams-nist-cis-s3- bucket-replication-enabled | S3 | Changements de configuration | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : 2,2, 10,5,3 ; |
| ams-nist-cis-s3- bucket-ssl-requests-only | S3 | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (c) (2), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 2.2, 4.1, 8.2.1 ; |
| ams-nist-cis-s3- bucket-versioning-enabled | S3 | Périodique | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a), 164,308 (a) (7) (ii) (B) ,164312 (a) c) (1), 164,312 (c) (2) ; PCI : 10.5.3 ; |
| ams-nist-cis-sagemaker- endpoint-configuration-kms-key -configuré | SageMaker | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-nist-cis-sagemaker- notebook-instance-kms-key -configuré | SageMaker | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-nist-cis-sagemaker- notebook-no-direct-internet -accès | SageMaker | Périodique | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) 64,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 3,4, 1,3,4, 1,3,6, 2,2.2 ; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1 ; HIPAA : 164.308 (a) (4) (ii) (B) ; PCI : NA ; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1 ; HIPAA : 164.308 (a) (4) (ii) (B) ; PCI : NA ; |
| ams-nist-cis-sns-kms chiffrés | SNS | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 8.2.1 ; |
| ams-nist-cis-vpc- sg-open-only-to -ports autorisés | VPC | Changements de configuration | Rapport | CIS : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164.312 (e) (1) ; PCI : 1.2,1.3,1.2.1,1.3.2,1.3.2,2.2.2 ; |
| ams-nist-vpc-vpn-2 tunnels vers le haut | VPC | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1 ; HIPAA : 164.308 (a) (7) (i) ; PCI : NA ; |
| ams-cis-ec2- ebs-encryption-by-default | EC2 | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164.312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 2.2, 3.4, 8.2.1 ; |
| ams-cis-rds-snapshot-crypté | RDS | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ; |
| ams-cis-redshift-cluster- paramètres de maintenance - vérification | RedShift | Changements de configuration | Rapport | CIS : CIS.5 ; NIST-CSF : PR.DS-4, PR.IP-1, PR.IP-4 ; HIPAA : 164,308 (a) (5) (ii) (A), 164,308 (a) (7) (ii) (A) ; PCI : 6,2 ; |
Réponses aux violations dans Accelerate
Toutes les violations des règles de configuration apparaissent dans votre rapport de configuration. Il s'agit d'une réponse universelle. En fonction de la catégorie de correction (gravité) de la règle, AMS peut prendre des mesures supplémentaires, résumées dans le tableau suivant. Pour plus d'informations sur la personnalisation du code d'action pour certaines règles, consultezConstatations et réponses personnalisées.
Mesures correctives
| Code d'action | Actions de l'AMS |
|---|---|
| Rapport | |
| Incident | |
| Corriger |
Demande d'aide supplémentaire
Note
AMS peut remédier à toute violation pour vous, quelle que soit sa catégorie de correction. Pour demander de l'aide, soumettez une demande de service et indiquez les ressources que vous souhaitez qu'AMS corrige avec un commentaire tel que « Dans le cadre de la correction des règles de configuration AMS, veuillez corriger la RESOURCE_ARNS_OR_IDs ressource de ressources non conformes ARNs/IDs>, règle de configuration CONFIG_RULE_NAME dans le compte » et ajoutez les entrées requises pour remédier à la violation.
AMS Accelerate dispose d'une bibliothèque de documents AWS Systems Manager d'automatisation et de runbooks pour aider à remédier aux ressources non conformes.
Ajouter au rapport de configuration
AMS génère un rapport de configuration qui suit l'état de conformité de toutes les règles et ressources de votre compte. Vous pouvez demander le rapport à votre CSDM. Vous pouvez également vérifier l'état de conformité à partir de la console AWS Config, de la AWS CLI ou de l'API AWS Config. Votre rapport de configuration inclut :
Les principales ressources non conformes de votre environnement, pour découvrir les menaces potentielles et les erreurs de configuration
Conformité des ressources et des règles de configuration au fil du temps
Config : descriptions des règles, sévérité des règles et mesures correctives recommandées pour corriger les ressources non conformes
Lorsqu'une ressource passe dans un état non conforme, le statut de la ressource (et le statut de la règle) devient Non conforme dans votre rapport de configuration. Si la règle appartient à la catégorie de correction Config Report Only, AMS n'entreprend aucune autre action par défaut. Vous pouvez toujours créer une demande de service pour demander une aide supplémentaire ou des mesures correctives à AMS.
Pour plus de détails, consultez AWS Config Reporting.
Rapport d'incident automatique dans Accelerate
En cas de violation des règles modérément grave, AMS crée automatiquement un rapport d'incident pour vous informer qu'une ressource est devenue non conforme et vous demande quelles actions vous souhaitez effectuer. Les options suivantes s'offrent à vous lorsque vous répondez à un incident :
Demandez à AMS de corriger les ressources non conformes répertoriées dans l'incident. Ensuite, nous tentons de remédier à la ressource non conforme et nous vous informons une fois que l'incident sous-jacent a été résolu.
Vous pouvez résoudre l'élément non conforme manuellement dans la console ou via votre système de déploiement automatique (par exemple, les mises à jour du modèle de CI/CD pipeline) ; vous pouvez ensuite résoudre l'incident. La ressource non conforme est réévaluée conformément au calendrier de la règle et, si la ressource est jugée non conforme, un nouveau rapport d'incident est créé.
Vous pouvez choisir de ne pas résoudre la ressource non conforme et de simplement résoudre l'incident. Si vous mettez à jour la configuration de la ressource ultérieurement, AWS Config déclenchera une réévaluation et vous serez à nouveau alerté pour évaluer la non-conformité de cette ressource.
Correction automatique dans Accelerate
Les règles les plus critiques appartiennent à la catégorie Auto Remediate. Le non-respect de ces règles peut avoir un impact important sur la sécurité et la disponibilité de vos comptes. Lorsqu'une ressource enfreint l'une de ces règles :
AMS vous avertit automatiquement par un rapport d'incident.
AMS lance une correction automatique à l'aide de nos documents SSM automatisés.
AMS met à jour le rapport d'incident en cas de réussite ou d'échec de la correction automatique.
En cas d'échec de la correction automatique, un ingénieur AMS enquête sur le problème.
Création d'exceptions aux règles dans Accelerate
La fonctionnalité d'exception de AWS Config Rules ressource vous permet de supprimer le signalement de ressources spécifiques non conformes à des règles spécifiques.
Note
Les ressources exemptées apparaissent toujours comme non conformes dans votre console AWS Config Service. Les ressources exemptées apparaissent avec un indicateur spécial dans Config Reports (Resource_Exception:True). CSDMs Vous pouvez filtrer ces ressources en fonction de cette colonne lorsque vous générez des rapports.
Si vous savez que certaines de vos ressources ne sont pas conformes, vous pouvez supprimer une ressource spécifique pour une règle de configuration spécifique dans leurs rapports de configuration. Pour cela :
Soumettez une demande de service à Accelerate pour votre compte, avec une liste des règles de configuration et des ressources à exempter du rapport. Vous devez fournir une justification commerciale explicite (par exemple, vous n'avez pas besoin de le signaler resource_name_1 et vous n'resource_name_2êtes pas sauvegardé car nous ne voulons pas qu'ils soient sauvegardés). Pour obtenir de l'aide pour soumettre une demande de service Accelerate, consultezCréation d'une demande de service dans Accelerate.
Collez dans la demande les entrées suivantes (pour chaque ressource, ajoutez un bloc séparé avec tous les champs obligatoires, comme indiqué), puis soumettez :
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
Réduisez AWS Config les coûts dans Accelerate
Vous pouvez réduire les coûts d'AWS Config en utilisant l'option permettant d'enregistrer régulièrement le type de AWS::EC2::Instance ressource. L'enregistrement périodique enregistre les derniers changements de configuration de vos ressources une fois toutes les 24 heures, réduisant ainsi le nombre de modifications apportées. Lorsque cette option est activée, elle enregistre AWS Config uniquement la dernière configuration d'une ressource à la fin d'une période de 24 heures. Cela vous permet d'adapter les données de configuration à des cas d'utilisation spécifiques en matière de planification opérationnelle, de conformité et d'audit qui ne nécessitent pas de surveillance continue. Cette modification n'est recommandée que si vos applications dépendent d'architectures éphémères, ce qui signifie que vous augmentez ou diminuez constamment le nombre d'instances.
Pour activer l'enregistrement périodique pour le type de AWS::EC2::Instance ressource, contactez votre équipe de livraison AMS.
