

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conformité des configurations dans Accelerate
<a name="acc-sec-compliance"></a>

AMS Accelerate vous aide à configurer vos ressources selon des normes élevées en matière de sécurité et d'intégrité opérationnelle, et à respecter les normes sectorielles suivantes :
+ Centre pour la sécurité Internet (CIS)
+ Cadre de sécurité cloud (CSF) du National Institute of Standards and Technology (NIST)
+ Health Insurance Portability and Accountability Act (HIPAA)
+ Norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI)

Pour ce faire, nous déployons l'ensemble de nos AWS Config règles de conformité définies sur votre compte, voir[Bibliothèque de règles de configuration AMS](#acc-sec-compliance-rules). Une AWS Config règle représente les configurations souhaitées pour une ressource et est évaluée par rapport aux modifications de configuration apportées aux paramètres de vos AWS ressources. Toute modification de configuration déclenche un grand nombre de règles pour tester la conformité. Supposons, par exemple, que vous créiez un compartiment Amazon S3 et que vous le configuriez pour qu'il soit lisible par le public, en violation des normes NIST. La [bucket-public-read-prohibited règle des ams-nist-cis-s 3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) détecte la violation et indique que votre compartiment S3 **n'est pas conforme** dans votre rapport de configuration. Comme cette règle appartient à la catégorie de correction **automatique des incidents**, elle crée immédiatement un rapport d'incident vous alertant du problème. D'autres violations de règles plus graves peuvent amener AMS à résoudre automatiquement le problème. Consultez [Réponses aux violations dans Accelerate](#acc-sec-compliance-responses).

**Important**  
Si vous souhaitez que nous fassions davantage, par exemple, si vous souhaitez qu'AMS remédie à une violation pour vous, quelle que soit sa catégorie de correction, soumettez une demande de service demandant à AMS de corriger les ressources non conformes pour vous. Dans la demande de service, incluez un commentaire tel que « Dans le cadre de la correction des règles de configuration AMS, veuillez corriger les ressources non conformes*RESOURCE\$1ARNS\$1OR\$1IDs*, configurez la règle *CONFIG\$1RULE\$1NAME* dans le compte » et ajoutez les entrées requises pour remédier à la violation.  
 Si vous souhaitez que nous fassions moins, par exemple, si vous ne voulez pas que nous prenions des mesures sur un compartiment S3 spécifique qui nécessite un accès public dès sa conception, vous pouvez créer des exceptions, voir[Création d'exceptions aux règles dans Accelerate](#acc-sec-compliance-config-reports-exception). 

## Bibliothèque de règles de configuration AMS
<a name="acc-sec-compliance-rules"></a>

Accelerate déploie une bibliothèque de règles de configuration AMS pour protéger votre compte. Ces règles de configuration commencent par`ams-`. Vous pouvez consulter les règles de votre compte et leur état de conformité à partir de la AWS Config console, de la AWS CLI ou de l' AWS Config API. Pour des informations générales sur l'utilisation AWS Config, consultez la section [ ViewingConfiguration Conformité](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).

**Note**  
Pour les régions cloud opt-in Régions AWS et Gov, nous ne déployons qu'un sous-ensemble des règles de configuration en raison des restrictions régionales. Vérifiez la disponibilité des règles dans les régions en vérifiant le lien associé à l'identifiant dans le tableau des règles de configuration AMS Accelerate.  
Vous ne pouvez supprimer aucune des règles de configuration AMS déployées.

### Tableau des règles
<a name="acc-sec-config-rules-inventory"></a>

Téléchargez sous le [nom ams\$1config\$1rules.zip](samples/ams_config_rules.zip).


**Règles de configuration AMS**  

| Nom de règle | Service | Déclencheur | Action | Frameworks | 
| --- | --- | --- | --- | --- | 
| [ams-nist-cis-guardduty-activé-centralisé](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | Périodique | Corriger | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164.312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 2.2, 3.4, 8.2.1 ;  | 
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | Périodique | Corriger | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,312 (b) ; PCI : 2,2, 10,10,3,2, 10,3,3, 10,3,6 ;  | 
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | Périodique | Incident | CIS : NON ; NIST-CSF : NON ; HIPAA : NON ; PCI : NON ;  | 
| [ams-eks-endpoint-no-accès public](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | Périodique | Incident | CIS : NON ; NIST-CSF : NON ; HIPAA : NON ; PCI : NON ;  | 
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | Changements de configuration | Incident | CIS : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164.312 (e) (1) ; PCI : 1.2,1.3,2.1,2.1,1.3.1,1.3.2,2.2.2 ;  | 
| [ams-nist-cis-iam-politique de mot de passe](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | Périodique | Incident | CIS : NA ; NIST-CSF : PR.AC-1, PR.AC-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) (a) (4) (ii) (A) ,164308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C) ,164312 (a) (1) ; PCI : 7.1.2, 7.1.3, 7.2.1, 7.2.2 ;  | 
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | Périodique | Incident | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.PT-3 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (a) 4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2.2, 7.1.2, 7.1.3, 7.2.1, 7.2.2 ;  | 
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | Périodique | Incident | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) (a) 64,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2.2, 7.1.2, 7.1.3, 7.2.1, 7.2.2 ;  | 
| [ams-nist-cis-restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | Groupes de sécurité | Changements de configuration | Incident | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2,2, 7,2,1, 8,1.4 ;  | 
| [ams-nist-cis-restricted-ports communs](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | Groupes de sécurité | Changements de configuration | Incident | CEI : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i) ,164308 (a) (4) (ii)) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 3,2, 2.2.2 ;  | 
| [ams-nist-cis-s3 account-level-public-access blocs](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | Changements de configuration | Incident | CEI : CIS.9, CIS.12, CIS.14 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1.2,1.2,1.3,1.3,1.3.2,1.3.2,1.3,4, 1,3,6, 2,2, 2.2.2 ;  | 
| [ams-nist-cis-s3- bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | Changements de configuration | Incident | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,2, 1,1.3,1, 1,3,2, 1,3,4, 1,3,4, 3,6, 2,2.2 ;  | 
| [ams-nist-cis-s3- bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | Changements de configuration | Incident | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,2, 1,1.3,1, 1,3,2, 1,3,4, 1,3,4, 3,6, 2,2.2 ;  | 
| [ams-nist-cis-s3 bucket-server-side-encryption - activé](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | Changements de configuration | Incident | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (c) (2), 164,312 (e) (2) (ii) ; PCI : 2,2 3,4, 10.5, 8.2.1 ;  | 
| [ams-nist-cis-securityhub-activé](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | Security Hub | Périodique | Incident | CEI : CIS.3, CIS.4, CIS.6, CIS.12, CIS.16, CIS.19 ; NIST-CSF : PR.DS-5, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : NA ;  | 
| [ams-nist-cis-ec2- instance-managed-by-systems gérants](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | Changements de configuration | Rapport | CIS : CIS.2, CIS.5 ; NIST-CSF : ID.AM-2, PR.IP-1 ; HIPAA : 164.308 (a) (5) (ii) (B) ; PCI : 2,4 ;  | 
| [ams-nist-cis-cloudtrail-activé](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | Périodique | Rapport | CIS : CIS.16, CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,308 (a) (5) (ii) (C), 164,312 (b) ; PCI : 10,10,12,10,1 2, 10,2,3, 10,2,4, 10,2,5, 10,2,6, 10,2,7, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6 ;  | 
| [ams-nist-cis-access-touches pivotantes](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | Périodique | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1 ; HIPAA : 164,308 (a) (4) (ii) (B) ; PCI : 2,2 ;  | 
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.AC-5, PR.PT-4 ; HIPAA : NA ; PCI : 4.1 ;  | 
| [ams-nist-cis-alb- http-to-https-redirection -vérifier](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 2,3, 4.1, 8.2.1 ;  | 
| [ams-nist-cis-api- gw-cache-enabled-and crypté](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4 ;  | 
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | Changements de configuration | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : 10.1, 10.3.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4 ;  | 
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : PR.PT-1, PR.PT-5 ; HIPAA : 164.312 (b) ; PCI : 2.2 ;  | 
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 2,2 3,4, 10,5 ;  | 
| [ams-nist-cis-cloud- trail-log-file-validation activé](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : PR.DS-6 ; HIPAA : 164,312 (c) (1), 164,312 (c) (2) ; PCI : 2,2, 10,5, 11,5, 10,5,2,10,5.5 ;  | 
| [ams-nist-cis-cloudtrail-s3-dataevents activé](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,312 (b) ; PCI : 2,2,10,10,10,10.2,10.2.3,10.3.1,10.3.130.3,10.3.4,10.3.10.3.4,10.3.10.3.10.3.10.3.10,3,6 ;  | 
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | Changements de configuration | Rapport | CEI : CIS.13, CIS.14 ; NIST-CSF : NA ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4 ;  | 
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | Périodique | Rapport | CEI : CIS.13, CIS.14 ; NIST-CSF : NA ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4 ;  | 
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | Changements de configuration | Rapport | CIS : CIS.18 ; NIST-CSF : PR.DS-5 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 8.2.1 ;  | 
| [ams-nist-cis-codebuild- project-source-repo-url -vérifier](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | Changements de configuration | Rapport | CIS : CIS.18 ; NIST-CSF : PR.DS-5 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 8.2.1 ;  | 
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | Changements de configuration | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : NA ;  | 
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | Périodique | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ;  | 
| [ams-nist-dynamodb-autoscaling-activé](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | Périodique | Rapport | CIS : NA ; NIST-CSF : ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C) ; PCI : NA ;  | 
| [ams-nist-cis-dynamodbcompatible -pitr](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | Périodique | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : NA ;  | 
| [ams-nist-dynamodb-throughput-contrôle des limites](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | Périodique | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.312 (b) ; PCI : NA ;  | 
| [ams-nist-ebs-optimized-instance](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.308 (a) (7) (i) ; PCI : NA ;  | 
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | Périodique | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ;  | 
| [ams-nist-ec2- instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : DE.AE-1, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : NA ;  | 
| [ams-nist-cis-ec2- instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 1,3,4, 1,3,4, 3,6, 2,2.2 ;  | 
| [ams-nist-cis-ec2- managedinstance-association-compliance-status -vérifier](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (a) 1) ,164.312 (e) (1) ; PCI : 1.2,1.3,1.3,1.3,1.3.2,1.3.2,1.3.4, 1.3.6, 2.2.2 ;  | 
| [ams-nist-cis-ec2- managedinstance-patch-compliance-status -vérifier](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | Changements de configuration | Rapport | CIS : CIS.2, CIS.5 ; NIST-CSF : ID.AM-2, PR.IP-1 ; HIPAA : 164.308 (a) (5) (ii) (B) ; PCI : 6,2 ;  | 
| [ams-nist-cis-ecinstance à 2 arrêts](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | Périodique | Rapport | CIS : CIS.2 ; NIST-CSF : ID.AM-2, PR.IP-1 ; HIPAA : NON ; PCI : NON ;  | 
| [ams-nist-cis-ec2- volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | Changements de configuration | Rapport | CIS : CIS.2 ; NIST-CSF : PR.IP-1 ; HIPAA : NON ; PCI : NON ;  | 
| [ams-nist-cis-efs-chèque crypté](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-nist-cis-eip-attaché](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-nist-cis-elasticache- redis-cluster-automatic-backup -vérifier](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | Périodique | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : NA ;  | 
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | Périodique | Rapport | CIS : CIS.14, CIS.13 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) 64,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 3,4, 1,3,4, 1,3,6, 2,2.2 ;  | 
| [ams-nist-elb-deletion-activé par la protection](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 4.1, 8.2.1 ;  | 
| [ams-nist-cis-elb-activé pour la journalisation](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | Changements de configuration | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : 10.1, 10.3.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4 ;  | 
| [ams-nist-cis-emr-compatible avec Kerberos](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : 10.1, 10.3.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4 ;  | 
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | Périodique | Rapport | CIS : CIS.14, CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.AC-6 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) 4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 7.2.1 ;  | 
| [ams-nist-cis-encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (a) 1) ,164.312 (e) (1) ; PCI : 1.2,1.3,1.3,1.3,1.3.2,1.3.2,1.3.4, 1.3.6, 2.2.2 ;  | 
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | Périodique | Rapport | CEI : CIS.12, CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8 ; NIST-CSF : DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1 ; HIPAA : 164.308 (a) (5)) (ii) (C), 164,308 (a) (6) (ii), 164,312 (b) ; PCI : 6,1, 11,4, 5,1,2 ;  | 
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : PR.AC-4, PR.AC-1 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) (a) (4) (ii) (A) ,164308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C) ,164312 (a) (1) ; PCI : 7.1.2, 7.1.3, 7.2.1, 7.2.2 ;  | 
| [ams-nist-cis-iam- policy-no-statements-with -admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-6, PR.AC-7 ; HIPAA : 164,308 (a) (4) (ii) (B), 164,308 (a) (5) (ii) (D), 164,312 (d) ; PCI : 8.2.3, 8.2.4, 8.2.5 ;  | 
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | Changements de configuration | Rapport | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.PT-3 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C) ,164312 (a) (1), 164,312 (a) (2) (i) ; PCI : 2.2, 7.1.2, 7.2.1, 8.1.1 ;  | 
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-7 ; HIPAA : 164,308 (a) (4) (ii) (B), 164,312 (d) ; PCI : 8,3 ;  | 
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | Périodique | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1, PR.AC-4, PR.PT-3 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i), 164,308 (a) (4) ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1) ; PCI : 2,2, 7,1,2, 7,1,3, 7,2,1, 7,2.2 ;  | 
| [ams-nist-cis-ec2- instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | Changements de configuration | Rapport | CEI : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (B), 164,308 (a) (4) (i) ,164308 (a) (4) (ii)) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 3,2, 2.2.2 ;  | 
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | Internet Gateway | Périodique | Rapport | CIS : CIS.9, CIS.12 ; NIST-CSF : NON ; HIPAA : NON ; PCI : NON ;  | 
| [ams-nist-cis-kms- cmk-not-scheduled-for -suppression](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : NA ; PCI : 3.5, 3.6 ;  | 
| [ams-nist-lambda-concurrency-vérifier](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.312 (b) ; PCI : NA ;  | 
| [ams-nist-lambda-dlq-vérifier](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : NA ; HIPAA : 164.312 (b) ; PCI : NA ;  | 
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) 64,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 1,3,4, 2,2.2 ;  | 
| [ams-nist-cis-lambda-intérieur-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | Changements de configuration | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) ,164312 (a) (a) 1) ,164312 (e) (1) ; PCI : 1,2, 1.3, 1.3.1, 1.3.2, 1.3.2, 1.3.4, 2.2.2 ;  | 
| [ams-nist-cis-mfa- enabled-for-iam-console -accès](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | Périodique | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-7 ; HIPAA : 164.312 (d) ; PCI : 2.2, 8.3 ;  | 
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | Périodique | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164,312 (b) ; PCI : 2,2,10,10,10,2,10,3,10,2,4, 10,2,5, 10,2,6, 10,2,7, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6 ;  | 
| [ams-nist-rds-enhanced-activé pour la surveillance](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : PR.PT-1 ; HIPAA : 164.312 (b) ; PCI : NA ;  | 
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ;  | 
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C) ; PCI : NA ;  | 
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ;  | 
| [ams-nist-cis-rds-stockage crypté](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | Changements de configuration | Rapport | CIS : CIS.13, CIS.5, CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (b), 164,312 (e) (2) (ii) ; PCI : 3,4,10,10,10,10,10,10,10,10,10,10,2,10,2,10,2,3, 10,2,5, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6, 8,2.1 ;  | 
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | Changements de configuration | Rapport | CIS : CIS.6, CIS.13, CIS.5 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (b), 164,312 (e) (2) (ii) ; PCI : 3,4, 8,2.1, 10,2,11,2 3, 10,2,4, 10,2,5, 10,3,1, 10,3,2, 10,3,3, 10,3,4, 10,3,5, 10,3,6 ;  | 
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | Changements de configuration | Rapport | CEI : CIS.12, CIS.14, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 2,1, 1,3, 1,1.3,2, 1,3,4, 1,3,4, 1,3,6, 2.2.2 ;  | 
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 2.3, 4.1 ;  | 
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | Périodique | Rapport | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-7 ; HIPAA : 164.312 (d) ; PCI : 2.2, 8.3 ;  | 
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | Périodique | Rapport | CIS : CIS.16, CIS.4 ; NIST-CSF : PR.AC-7 ; HIPAA : 164.312 (d) ; PCI : 2.2, 8.3 ;  | 
| [ams-nist-cis-s3- bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | Changements de configuration | Rapport | CEI : CIS.14, CIS.13 ; NIST-CSF : ID.BE-5, PR.PT-5, RC.RP-1 ; HIPAA : NON ; PCI : NON ;  | 
| [ams-nist-cis-s3- bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | Changements de configuration | Rapport | CIS : CIS.6 ; NIST-CSF : DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1 ; HIPAA : 164,308 (a) (3) (ii) (A), 164.312 (b) ; PCI : 2.2,10,10.2,10.2,10.2.3,10.2,3,10.2.7,10.3.1,13.2,10.2,10.3, 10,3,4, 10,3,5, 10,3,6 ;  | 
| [ams-nist-cis-s3- bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | Changements de configuration | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (A), 164,308 (a) (7) (ii) (B) ; PCI : 2,2, 10,5,3 ;  | 
| [ams-nist-cis-s3- bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-2 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (c) (2), 164,312 (e) (1), 164,312 (e) (2) (i), 164,312 (e) (2) (ii) ; PCI : 2.2, 4.1, 8.2.1 ;  | 
| [ams-nist-cis-s3- bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | Périodique | Rapport | CIS : CIS.10 ; NIST-CSF : ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1 ; HIPAA : 164,308 (a) (7) (i), 164,308 (a), 164,308 (a) (7) (ii) (B) ,164312 (a) c) (1), 164,312 (c) (2) ; PCI : 10.5.3 ;  | 
| [ams-nist-cis-sagemaker- endpoint-configuration-kms-key -configuré](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-nist-cis-sagemaker- notebook-instance-kms-key -configuré](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-nist-cis-sagemaker- notebook-no-direct-internet -accès](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | Périodique | Rapport | CIS : CIS.12, CIS.9 ; NIST-CSF : PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4 ; HIPAA : 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (C) 64,312 (a) (1), 164,312 (e) (1) ; PCI : 1,2, 1,3, 1,1.3,1, 1,3,2, 3,4, 1,3,4, 1,3,6, 2,2.2 ;  | 
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1 ; HIPAA : 164.308 (a) (4) (ii) (B) ; PCI : NA ;  | 
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | Changements de configuration | Rapport | CIS : CIS.16 ; NIST-CSF : PR.AC-1 ; HIPAA : 164.308 (a) (4) (ii) (B) ; PCI : NA ;  | 
| [ams-nist-cis-sns-kms chiffrés](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 8.2.1 ;  | 
| [ams-nist-cis-vpc- sg-open-only-to -ports autorisés](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | Changements de configuration | Rapport | CIS : CIS.11, CIS.12, CIS.9 ; NIST-CSF : DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4 ; HIPAA : 164.312 (e) (1) ; PCI : 1.2,1.3,1.2.1,1.3.2,1.3.2,2.2.2 ;  | 
| [ams-nist-vpc-vpn-2 tunnels vers le haut](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | Changements de configuration | Rapport | CIS : NA ; NIST-CSF : ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1 ; HIPAA : 164.308 (a) (7) (i) ; PCI : NA ;  | 
| [ams-cis-ec2- ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | Périodique | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164.312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 2.2, 3.4, 8.2.1 ;  | 
| [ams-cis-rds-snapshot-crypté](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | Changements de configuration | Rapport | CIS : CIS.13, CIS.14 ; NIST-CSF : PR.DS-1 ; HIPAA : 164,312 (a) (2) (iv), 164,312 (e) (2) (ii) ; PCI : 3,4, 8.2.1 ;  | 
| [ams-cis-redshift-cluster- paramètres de maintenance - vérification](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | Changements de configuration | Rapport | CIS : CIS.5 ; NIST-CSF : PR.DS-4, PR.IP-1, PR.IP-4 ; HIPAA : 164,308 (a) (5) (ii) (A), 164,308 (a) (7) (ii) (A) ; PCI : 6,2 ;  | 

## Réponses aux violations dans Accelerate
<a name="acc-sec-compliance-responses"></a>

Toutes les violations des règles de configuration apparaissent dans votre rapport de configuration. Il s'agit d'une réponse universelle. En fonction de la *catégorie de correction* (gravité) de la règle, AMS peut prendre des mesures supplémentaires, résumées dans le tableau suivant. Pour plus d'informations sur la personnalisation du *code d'action* pour certaines règles, consultez[Constatations et réponses personnalisées](custom-findings-responses.md).

**Mesures correctives**


| Code d'action | Actions de l'AMS | 
| --- |--- |
| Rapport |  [Ajouter au rapport de configuration](#acc-sec-compliance-response-universal)  | 
| Incident |  [Ajouter au rapport de configuration](#acc-sec-compliance-response-universal)  [Rapport d'incident automatique dans Accelerate](#acc-sec-compliance-response-incident)  | 
| Corriger |  [Ajouter au rapport de configuration](#acc-sec-compliance-response-universal)  [Rapport d'incident automatique dans Accelerate](#acc-sec-compliance-response-incident) [Correction automatique dans Accelerate](#acc-sec-compliance-response-autoremediate) | 

**Demande d'aide supplémentaire**

**Note**  
AMS peut remédier à toute violation pour vous, quelle que soit sa catégorie de correction. Pour demander de l'aide, soumettez une demande de service et indiquez les ressources que vous souhaitez qu'AMS corrige avec un commentaire tel que « Dans le cadre de la correction des règles de configuration AMS, veuillez corriger la *RESOURCE\$1ARNS\$1OR\$1IDs* ressource de ressources non conformes ARNs/IDs>, règle de configuration *CONFIG\$1RULE\$1NAME* dans le compte » et ajoutez les entrées requises pour remédier à la violation.

AMS Accelerate dispose d'une bibliothèque de documents AWS Systems Manager d'automatisation et de runbooks pour aider à remédier aux ressources non conformes.

### Ajouter au rapport de configuration
<a name="acc-sec-compliance-response-universal"></a>

AMS génère un rapport de configuration qui suit l'état de conformité de toutes les règles et ressources de votre compte. Vous pouvez demander le rapport à votre CSDM. Vous pouvez également vérifier l'état de conformité à partir de la console AWS Config, de la AWS CLI ou de l'API AWS Config. Votre rapport de configuration inclut :
+ Les principales ressources non conformes de votre environnement, pour découvrir les menaces potentielles et les erreurs de configuration
+ Conformité des ressources et des règles de configuration au fil du temps
+ Config : descriptions des règles, sévérité des règles et mesures correctives recommandées pour corriger les ressources non conformes

 Lorsqu'une ressource passe dans un état non conforme, le statut de la ressource (et le statut de la règle) devient **Non conforme dans votre** rapport de configuration. Si la règle appartient à la catégorie de correction **Config Report Only**, AMS n'entreprend aucune autre action par défaut. Vous pouvez toujours créer une demande de service pour demander une aide supplémentaire ou des mesures correctives à AMS. 

Pour plus de détails, consultez [AWS Config Reporting](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance).

### Rapport d'incident automatique dans Accelerate
<a name="acc-sec-compliance-response-incident"></a>

En cas de violation des règles modérément grave, AMS crée automatiquement un rapport d'incident pour vous informer qu'une ressource est devenue non conforme et vous demande quelles actions vous souhaitez effectuer. Les options suivantes s'offrent à vous lorsque vous répondez à un incident :
+ Demandez à AMS de corriger les ressources non conformes répertoriées dans l'incident. Ensuite, nous tentons de remédier à la ressource non conforme et nous vous informons une fois que l'incident sous-jacent a été résolu.
+ Vous pouvez résoudre l'élément non conforme manuellement dans la console ou via votre système de déploiement automatique (par exemple, les mises à jour du modèle de CI/CD pipeline) ; vous pouvez ensuite résoudre l'incident. La ressource non conforme est réévaluée conformément au calendrier de la règle et, si la ressource est jugée non conforme, un nouveau rapport d'incident est créé.
+ Vous pouvez choisir de ne pas résoudre la ressource non conforme et de simplement résoudre l'incident. Si vous mettez à jour la configuration de la ressource ultérieurement, AWS Config déclenchera une réévaluation et vous serez à nouveau alerté pour évaluer la non-conformité de cette ressource. 

### Correction automatique dans Accelerate
<a name="acc-sec-compliance-response-autoremediate"></a>

 Les règles les plus critiques appartiennent à la catégorie **Auto Remediate**. Le non-respect de ces règles peut avoir un impact important sur la sécurité et la disponibilité de vos comptes. Lorsqu'une ressource enfreint l'une de ces règles : 

1. AMS vous avertit automatiquement par un rapport d'incident.

1. AMS lance une correction automatique à l'aide de nos documents SSM automatisés.

1. AMS met à jour le rapport d'incident en cas de réussite ou d'échec de la correction automatique.

1. En cas d'échec de la correction automatique, un ingénieur AMS enquête sur le problème.

## Création d'exceptions aux règles dans Accelerate
<a name="acc-sec-compliance-config-reports-exception"></a>

La fonctionnalité d'exception de AWS Config Rules ressource vous permet de supprimer le signalement de ressources spécifiques non conformes à des règles spécifiques.

**Note**  
Les ressources exemptées apparaissent toujours comme **non conformes dans votre console** AWS Config Service. Les ressources exemptées apparaissent avec un indicateur spécial dans Config Reports (Resource\$1Exception:True). CSDMs Vous pouvez filtrer ces ressources en fonction de cette colonne lorsque vous générez des rapports. 

Si vous savez que certaines de vos ressources ne sont pas conformes, vous pouvez supprimer une ressource spécifique pour une règle de configuration spécifique dans leurs rapports de configuration. Pour cela :

Soumettez une demande de service à Accelerate pour votre compte, avec une liste des règles de configuration et des ressources à exempter du rapport. Vous devez fournir une justification commerciale explicite (par exemple, vous n'avez pas besoin de le signaler *resource\$1name\$11* et vous n'*resource\$1name\$12*êtes pas sauvegardé car nous ne voulons pas qu'ils soient sauvegardés). Pour obtenir de l'aide pour soumettre une demande de service Accelerate, consultez[Création d'une demande de service dans Accelerate](creating-a-sr.md).

Collez dans la demande les entrées suivantes (pour chaque ressource, ajoutez un bloc séparé avec tous les champs obligatoires, comme indiqué), puis soumettez :

```
[
    {
        "resource_name": "resource_name_1",
        "config_rule_name": "config_rule_name_1",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    },
    {
        "resource_name": "resource_name_2",
        "config_rule_name": "config_rule_name_2",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    }
]
```

## Réduisez AWS Config les coûts dans Accelerate
<a name="acc-sec-compliance-reduct-config-spend"></a>

Vous pouvez réduire les coûts d'AWS Config en utilisant l'option permettant d'enregistrer régulièrement le type de `AWS::EC2::Instance` ressource. L'enregistrement périodique enregistre les derniers changements de configuration de vos ressources une fois toutes les 24 heures, réduisant ainsi le nombre de modifications apportées. Lorsque cette option est activée, elle enregistre AWS Config uniquement la dernière configuration d'une ressource à la fin d'une période de 24 heures. Cela vous permet d'adapter les données de configuration à des cas d'utilisation spécifiques en matière de planification opérationnelle, de conformité et d'audit qui ne nécessitent pas de surveillance continue. Cette modification n'est recommandée que si vos applications dépendent d'architectures éphémères, ce qui signifie que vous augmentez ou diminuez constamment le nombre d'instances. 

Pour activer l'enregistrement périodique pour le type de `AWS::EC2::Instance` ressource, contactez votre équipe de livraison AMS.

# Constatations et réponses personnalisées
<a name="custom-findings-responses"></a>

Vous pouvez choisir la manière dont vous souhaitez qu'AMS Accelerate réponde à certaines constatations (règles de configuration non conformes). Vous pouvez configurer AMS pour qu'il réponde aux constatations en corrigeant la constatation, en demandant votre approbation pour y remédier ou simplement en vous faisant rapport dans votre prochaine revue commerciale mensuelle (MBR). Vous pouvez modifier les réponses par défaut pour les règles AMS Accelerate Config. Pour consulter les règles, accédez à [Configuration Conformité > Tableau des règles](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html) ou téléchargez le tableau des règles sous forme de fichier ZIP [ams\$1config\$1rules.zip](samples/ams_config_rules.zip).

La modification des réponses par défaut vous permet d'améliorer l'état de sécurité et de conformité de votre compte en permettant de corriger davantage de résultats. Lorsque vous corrigez un plus grand nombre de résultats, vous avez moins de cas à attendre pour une révision et une approbation manuelles. La vaste bibliothèque de runbooks de remédiation AMS corrige en permanence les ressources non conformes et vous n'êtes contacté que lorsque cela est nécessaire.

Les réponses personnalisées ne sont utilisées qu'avec de nouvelles ressources ou avec des ressources existantes présentant de nouveaux événements. Par exemple, une ressource devenue non conforme à la suite d'une modification. Cela s'explique par le fait que les anciennes ressources ont tendance à nécessiter une inspection plus approfondie avant d'être corrigées et qu'il est plus facile d'appliquer la correction des ressources au fur et à mesure de leur création ou de leur modification. Pour demander la correction de la recherche pour une ressource à tout moment, soumettez une demande de service.

## Demande de modification des réponses par défaut
<a name="cfr-how-works"></a>

Les architectes du cloud (CAs) travaillent avec vous lors de l'intégration pour recueillir vos préférences. CAspuis configurez la configuration initiale sur les systèmes AMS internes. Après l'intégration, créez une demande de service pour demander des mises à jour de vos configurations. Vous pouvez demander des mises à jour de configuration autant de fois que nécessaire. Veuillez noter que Operations met uniquement à jour les configurations pour le compte dans lequel la demande de service a été créée. Si vous devez mettre à jour plusieurs comptes en même temps, contactez votre architecte cloud. Votre autorité de certification vous demandera de supprimer une demande de service en fonction de vos préférences à des fins d'audit.

## Modification des réponses par défaut pour vos résultats et vos comptes
<a name="cfr-change-by-account"></a>

Vous avez toujours besoin d'une préférence de réponse pour chaque compte et chaque résultat. AMS fournit une réponse par défaut (voir [Conformité des configurations](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)), cette configuration est donc facultative. Vous pouvez remplacer les réponses par défaut pour chaque résultat par les options suivantes : 
+ Corriger : AMS corrige le résultat manuellement ou automatiquement. AMS examine la correction et vous avertit en cas d'échec.
+ Demande d'approbation : AMS crée un dossier sortant pour vous informer de la découverte. Utilisez cette option lorsque vous souhaitez examiner le résultat avant d'approuver sa correction ou de l'exempter. AMS exécute ensuite l'action que vous préférez.
+ Aucune action (rapport uniquement) : AMS ne prend aucune mesure pour corriger ou aggraver le résultat. Les résultats peuvent toujours apparaître sur la console et les rapports présentés pendant MBRs. 

**Note**  
Vous ne pouvez pas modifier la configuration des règles qui doivent être corrigées par AMS. Par exemple, activer Amazon GuardDuty et VPC Flow Logs. 

## Modification des réponses par défaut par ressource
<a name="cfr-change-by-resources"></a>

Vous pouvez également configurer la réponse à des ressources spécifiques à l'aide de balises. Vous pouvez utiliser vos balises ou ressources de balises préexistantes à l'aide de Resource Tagger. Pour plus de détails, voir[Accélérez Resource Tagger](acc-resource-tagger.md)). La configuration des ressources avec des balises a priorité sur l'action par défaut pour la recherche. Lorsqu'une ressource possède plusieurs balises associées à différentes configurations, AMS ne peut pas exécuter de corrections personnalisées. AMS vous envoie plutôt une demande de service sortante pour vous informer de la situation. Par exemple, pour la recherche [bucket-server-side-encryptionactivée par s3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html), vous pouvez :
+ Modifiez la réponse pour « corriger » les compartiments S3 non chiffrés avec la paire clé-valeur de balise « Regulated : True »
+ Remplacez la réponse par « aucune action » lorsque les compartiments S3 non chiffrés comportent les balises « Regulated : False », et 
+ Remplacez la réponse par défaut des compartiments S3 non chiffrés par « demander l'approbation ». Cela s'applique à tous les compartiments S3 qui ne possèdent pas les balises « Regulated : True » ou « Regulated : False »

Vous pouvez également ajouter l'entrée requise pour exécuter une réponse de recherche personnalisée. Par exemple, pour les corrections qui nécessitent une clé de chiffrement, vous pouvez fournir votre clé IDs à AMS. Vous pouvez modifier les paramètres d'entrée des runbooks de correction, mais AMS ne prend pas en charge l'intégration avec les runbooks personnalisés. Pour une description des runbooks de correction AMS dans le rapport de configuration, consultez. [AWS Config Rapport de conformité des contrôles](acc-report-config-control-compliance.md)