Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Désactivation des contrôles dans Security Hub CSPM
<a name="disable-controls-overview"></a>

Pour réduire le bruit de détection, il peut être utile de désactiver les commandes qui ne sont pas adaptées à votre environnement. Dans AWS Security Hub CSPM, vous pouvez désactiver un contrôle pour toutes les normes de sécurité ou uniquement pour des normes spécifiques. 

Si vous désactivez un contrôle pour toutes les normes, voici ce qui se produit :
+ Les contrôles de sécurité ne sont plus effectués pour le contrôle.
+ Aucun résultat supplémentaire n'est généré pour le contrôle.
+ Les résultats existants ne sont plus mis à jour pour le contrôle.
+ Les résultats existants pour le contrôle sont archivés automatiquement, généralement dans un délai de 3 à 5 jours, dans la mesure du possible.
+ Security Hub CSPM supprime toutes les AWS Config règles associées créées pour le contrôle.

Si vous désactivez un contrôle uniquement pour des normes spécifiques, Security Hub CSPM arrête d'exécuter les contrôles de sécurité pour le contrôle uniquement pour ces normes. Cela supprime également le contrôle des [calculs du score de sécurité](standards-security-score.md) pour chacune de ces normes. Si le contrôle est activé dans d'autres normes, Security Hub CSPM conserve la AWS Config règle associée, le cas échéant, et continue à exécuter des contrôles de sécurité pour le contrôle relatif aux autres normes. Security Hub CSPM inclut également le contrôle lorsqu'il calcule le score de sécurité pour chacune des autres normes, ce qui affecte votre score de sécurité récapitulatif.

Si vous désactivez une norme, toutes les commandes qui s'appliquent à la norme sont automatiquement désactivées pour cette norme. Cependant, les contrôles peuvent continuer à être activés dans d'autres normes. Lorsque vous désactivez une norme, Security Hub CSPM n'enregistre pas les contrôles qui ont été désactivés pour cette norme. Par conséquent, si vous réactivez ultérieurement la même norme, toutes les commandes qui s'y appliquent sont automatiquement activées. Pour plus d'informations sur la désactivation d'une norme, consultez[Désactiver une norme](disable-standards.md).

La désactivation d'un contrôle n'est pas une action permanente. Supposons que vous désactiviez un contrôle, puis que vous activiez une norme qui inclut le contrôle. Le contrôle est ensuite activé pour cette norme. Lorsque vous activez une norme dans Security Hub CSPM, toutes les commandes qui s'appliquent à la norme sont automatiquement activées. Pour plus d'informations sur l'activation d'une norme, consultez[Activation d'une norme](enable-standards.md).

**Topics**
+ [Désactiver un contrôle entre les normes](disable-controls-across-standards.md)
+ [Désactivation d'un contrôle dans une norme spécifique](disable-controls-standard.md)
+ [Contrôles suggérés à désactiver](controls-to-disable.md)

# Désactiver un contrôle entre les normes
<a name="disable-controls-across-standards"></a>

Nous vous recommandons de désactiver un contrôle AWS Security Hub CSPM entre les normes afin de maintenir l'alignement au sein de votre organisation. Si vous désactivez un contrôle uniquement dans des normes spécifiques, vous continuez à recevoir les résultats du contrôle s'il est activé dans d'autres normes.

## Désactivation multistandard dans plusieurs comptes et régions
<a name="disable-controls-all-standards-central-configuration"></a>

Pour désactiver un contrôle de sécurité sur plusieurs Comptes AWS et Régions AWS, vous devez utiliser [la configuration centralisée](central-configuration-intro.md).

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration Security Hub CSPM qui désactivent les contrôles spécifiés dans les normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes spécifiques OUs, ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir de désactiver tous les AWS CloudTrail contrôles dans une unité d'organisation, et vous pouvez choisir de désactiver tous les contrôles IAM dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui désactive les contrôles spécifiques selon les normes, consultez[Création et association de politiques de configuration](create-associate-policy.md).

**Note**  
L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la [norme de gestion des services](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.

Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.

## Désactivation multistandard dans un seul compte et une seule région
<a name="disable-controls-all-standards"></a>

Si vous n'utilisez pas la configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez désactiver un contrôle dans un seul compte et dans une seule région.

------
#### [ Security Hub CSPM console ]

**Pour désactiver le contrôle des normes dans un compte et une région**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Controls** dans le volet de navigation.

1. Choisissez l'option située à côté d'un contrôle.

1. Choisissez **Désactiver le contrôle**. Cette option n'apparaît pas pour un contrôle déjà désactivé.

1. Sélectionnez le motif de désactivation du contrôle, puis confirmez en choisissant **Désactiver**.

1. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.

------
#### [ Security Hub CSPM API ]

**Pour désactiver le contrôle des normes dans un compte et une région**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fournissez un identifiant de contrôle de sécurité.

   **Exemple de demande :**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Indiquez l'ARN de toutes les normes dans lesquelles le contrôle est activé. Pour obtenir le standard ARNs, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Définissez le `AssociationStatus` paramètre égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà désactivé, l'API renvoie une réponse au code d'état HTTP 200.

   **Exemple de demande :**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.

------
#### [ AWS CLI ]

**Pour désactiver le contrôle des normes dans un compte et une région**

1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fournissez un identifiant de contrôle de sécurité.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Indiquez l'ARN de toutes les normes dans lesquelles le contrôle est activé. Pour obtenir le standard ARNs, exécutez la `describe-standards` commande.

1. Définissez le `AssociationStatus` paramètre égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà désactivé, la commande renvoie une réponse au code d'état HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.

------

# Désactivation d'un contrôle dans une norme spécifique
<a name="disable-controls-standard"></a>

Vous pouvez désactiver un contrôle uniquement pour des normes de sécurité spécifiques, plutôt que pour toutes les normes. Si le contrôle s'applique à d'autres normes activées, AWS Security Hub CSPM continue à effectuer des contrôles de sécurité pour le contrôle et vous continuez à recevoir les résultats du contrôle.

Nous recommandons d'aligner le statut d'activation d'un contrôle sur toutes les normes activées auxquelles le contrôle s'applique. Pour plus d'informations sur la désactivation d'un contrôle dans toutes les normes auxquelles il s'applique, consultez[Désactiver un contrôle entre les normes](disable-controls-across-standards.md).

Sur la page de détails des normes, vous pouvez également désactiver les contrôles dans des normes spécifiques. Vous devez désactiver les contrôles dans des normes spécifiques séparément dans chaque Compte AWS et Région AWS. Lorsque vous désactivez un contrôle dans le cadre de normes spécifiques, cela n'affecte que le compte courant et la région.

Choisissez votre méthode préférée et suivez ces étapes pour désactiver un contrôle dans une ou plusieurs normes spécifiques.

------
#### [ Security Hub CSPM console ]

**Pour désactiver un contrôle dans une norme spécifique**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Normes de sécurité** dans le volet de navigation. Choisissez **Afficher les résultats** pour la norme correspondante.

1. Sélectionnez un contrôle.

1. Choisissez **Désactiver le contrôle**. Cette option n'apparaît pas pour un contrôle déjà désactivé.

1. Indiquez le motif de la désactivation du contrôle, puis confirmez en choisissant **Désactiver**.

------
#### [ Security Hub CSPM API ]

**Pour désactiver un contrôle dans une norme spécifique**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`Exécutez et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Cette API renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs

   **Exemple de demande :**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.

   **Exemple de demande :**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Exécutez `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez désactiver le contrôle.

1. Définissez le `AssociationStatus` paramètre comme étant égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà désactivé, l'API renvoie une réponse au code d'état HTTP 200.

   **Exemple de demande :**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**Pour désactiver un contrôle dans une norme spécifique**

1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` commande et fournissez un ARN standard pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir un ARN standard, exécutez`describe-standards`. Cette commande renvoie un contrôle de sécurité indépendant de la norme IDs, et non un contrôle spécifique à une norme. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Exécutez la `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` commande et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Exécutez la commande `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Indiquez l'ARN de la norme dans laquelle vous souhaitez désactiver le contrôle.

1. Définissez le `AssociationStatus` paramètre comme étant égal à`DISABLED`. Si vous suivez ces étapes pour un contrôle déjà activé, la commande renvoie une réponse de code d'état HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Contrôles suggérés à désactiver dans Security Hub CSPM
<a name="controls-to-disable"></a>

Nous vous recommandons de désactiver certains contrôles CSPM du AWS Security Hub afin de réduire le bruit lié à la recherche et les coûts d'utilisation.

## Contrôles utilisant des ressources globales
<a name="controls-to-disable-global-resources"></a>

Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub CSPM continue d'effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût du Security Hub CSPM, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.

Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :
+ **Toutes les CloudFront commandes** — Disponible uniquement dans la région de l'est des États-Unis (Virginie du Nord)
+ **GlobalAccelerator.1** — Disponible uniquement dans la région de l'ouest des États-Unis (Oregon)
+ **Route 53.2** — Disponible uniquement dans la région de l'Est des États-Unis (Virginie du Nord)
+ **WAF.1, WAF.6, WAF.7, WAF.8** — Disponible uniquement dans la région USA Est (Virginie du Nord)

**Note**  
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.  
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.  
Pour plus d'informations sur la configuration centrale, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Pour les contrôles dotés d'un type de calendrier *périodique*, il est nécessaire de les désactiver dans Security Hub CSPM pour empêcher la facturation. La définition du AWS Config paramètre `includeGlobalResourceTypes` sur `false` n'a aucune incidence sur les contrôles périodiques du Security Hub CSPM.

Les contrôles CSPM du Security Hub suivants utilisent des ressources globales :
+ [[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS](account-controls.md#account-1)
+ [[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] la journalisation des CloudFront distributions doit être activée](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] WAF doit être activé sur les CloudFront distributions](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] les CloudFront distributions doivent utiliser la politique de sécurité TLS recommandée](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL des fonctions Lambda](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \$1 » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins](iam-controls.md#iam-3)
+ [[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister](iam-controls.md#iam-4)
+ [[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console](iam-controls.md#iam-5)
+ [[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine](iam-controls.md#iam-6)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.9] La MFA doit être activée pour l'utilisateur root](iam-controls.md#iam-9)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins](iam-controls.md#iam-17)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés](iam-controls.md#iam-26)
+ [[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess](iam-controls.md#iam-27)
+ [[KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-1)
+ [[KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS](kms-controls.md#kms-2)
+ [[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS](route53-controls.md#route53-2)
+ [[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée](waf-controls.md#waf-1)
+ [[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition](waf-controls.md#waf-6)
+ [[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle](waf-controls.md#waf-7)
+ [[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles](waf-controls.md#waf-8)

## CloudTrail contrôles de journalisation
<a name="controls-to-disable-cloudtrail-logging"></a>

Le contrôle [CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) évalue l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de suivi AWS CloudTrail . Si vous enregistrez ces traces dans un compte de journalisation centralisé, vous devez activer ce contrôle uniquement dans le compte et dans l'endroit Région AWS où la journalisation centralisée a lieu.

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, vous pouvez supprimer les résultats de la commande CloudTrail .2 afin de réduire le bruit de recherche.

## CloudWatch commandes d'alarme
<a name="controls-to-disable-cloudwatch-alarms"></a>

Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver les commandes suivantes, qui se concentrent sur les CloudWatch alarmes :
+ [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)