Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memahami standar keamanan di Security Hub CSPM
<a name="standards-view-manage"></a>

Di AWS Security Hub CSPM, *standar keamanan* adalah seperangkat persyaratan yang didasarkan pada kerangka peraturan, praktik terbaik industri, atau kebijakan perusahaan. Untuk detail tentang standar yang didukung oleh Security Hub CSPM saat ini, termasuk kontrol keamanan yang berlaku untuk masing-masing standar, lihat. [Referensi standar untuk Security Hub CSPM](standards-reference.md)

Ketika Anda mengaktifkan standar, Security Hub CSPM secara otomatis mengaktifkan semua kontrol yang berlaku untuk standar. Security Hub CSPM kemudian menjalankan pemeriksaan keamanan pada kontrol, yang menghasilkan temuan CSPM Security Hub. Anda dapat menonaktifkan dan kemudian mengaktifkan kembali kontrol individual seperlunya. Anda juga dapat menonaktifkan standar sepenuhnya. Jika Anda menonaktifkan standar, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan pada kontrol yang berlaku untuk standar. Temuan tidak lagi dihasilkan untuk kontrol.

Selain temuan, Security Hub CSPM menghasilkan skor keamanan untuk setiap standar yang Anda aktifkan. Skor didasarkan pada status kontrol yang berlaku untuk standar. Jika Anda menetapkan Wilayah agregasi, skor keamanan untuk standar mencerminkan status kontrol di semua Wilayah tertaut. Jika Anda administrator CSPM Security Hub untuk suatu organisasi, skor tersebut mencerminkan status kontrol untuk semua akun di organisasi Anda. Untuk informasi selengkapnya, lihat [Menghitung skor keamanan](standards-security-score.md).

Untuk meninjau dan mengelola standar, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API. Di konsol, halaman **standar Keamanan menunjukkan semua standar** keamanan yang didukung CSPM Security Hub saat ini. Ini termasuk deskripsi masing-masing standar dan status standar saat ini. Jika Anda mengaktifkan standar, Anda juga dapat menggunakan halaman ini untuk mengakses detail tambahan untuk standar. Misalnya, Anda dapat meninjau:
+ Skor keamanan saat ini untuk standar.
+ Statistik agregat untuk kontrol yang berlaku untuk standar.
+ Daftar kontrol yang berlaku untuk standar dan saat ini diaktifkan, termasuk status kepatuhan masing-masing.
+ Daftar kontrol yang berlaku untuk standar tetapi saat ini dinonaktifkan.

Untuk analisis yang lebih dalam, Anda dapat memfilter dan mengurutkan data, dan menelusuri untuk meninjau detail kontrol individual yang berlaku untuk standar.

Anda dapat mengaktifkan standar secara individual untuk satu akun dan Wilayah AWS. Namun, untuk menghemat waktu dan mengurangi penyimpangan konfigurasi di lingkungan multi-akun dan Multi-wilayah, sebaiknya gunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengaktifkan dan mengelola standar. Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan yang menentukan cara mengonfigurasi standar di beberapa akun dan Wilayah.

**Topics**
+ [Referensi standar](standards-reference.md)
+ [Mengaktifkan standar](enable-standards.md)
+ [Meninjau detail standar](securityhub-standards-view-controls.md)
+ [Mematikan standar yang diaktifkan secara otomatis](securityhub-auto-enabled-standards.md)
+ [Menonaktifkan standar](disable-standards.md)

# Referensi standar untuk Security Hub CSPM
<a name="standards-reference"></a>

Di AWS Security Hub CSPM, *standar keamanan* adalah seperangkat persyaratan yang didasarkan pada kerangka peraturan, praktik terbaik industri, atau kebijakan perusahaan. Security Hub CSPM memetakan persyaratan ini ke kontrol, dan menjalankan pemeriksaan keamanan pada kontrol untuk menilai apakah persyaratan standar terpenuhi. Setiap standar mencakup beberapa kontrol.

Security Hub CSPM saat ini mendukung standar berikut:
+ **AWS Praktik Terbaik Keamanan Dasar** - Dikembangkan oleh AWS dan profesional industri, standar ini adalah kompilasi praktik terbaik keamanan untuk organisasi, terlepas dari sektor atau ukurannya. Ini menyediakan serangkaian kontrol yang mendeteksi kapan Anda Akun AWS dan sumber daya menyimpang dari praktik terbaik keamanan. Ini juga memberikan panduan preskriptif tentang cara meningkatkan dan mempertahankan postur keamanan Anda.
+ **AWS Resource Tagging** — Dikembangkan oleh Security Hub CSPM, standar ini dapat membantu Anda menentukan apakah AWS sumber daya Anda memiliki tag. *Tag* adalah pasangan kunci-nilai yang bertindak sebagai metadata untuk sumber daya. AWS Tag dapat membantu Anda mengidentifikasi, mengkategorikan, mengelola, dan mencari AWS sumber daya. Misalnya, Anda dapat menggunakan tag untuk mengkategorikan sumber daya berdasarkan tujuan, pemilik, atau lingkungan.
+ **CIS AWS Foundations Benchmark** — Dikembangkan oleh Center for Internet Security (CIS), standar ini menyediakan pedoman konfigurasi yang aman untuk. AWS Ini menentukan seperangkat pedoman konfigurasi keamanan dan praktik terbaik untuk subset Layanan AWS dan sumber daya, dengan penekanan pada pengaturan agnostik dasar, dapat diuji, dan arsitektur. Pedoman tersebut mencakup prosedur yang jelas, step-by-step implementasi dan penilaian.
+ **NIST SP 800-53 Revisi 5** — Standar ini sejalan dengan persyaratan National Institute of Standards and Technology (NIST) untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem informasi dan sumber daya penting. Kerangka kerja terkait umumnya berlaku untuk lembaga atau organisasi federal AS yang bekerja dengan lembaga federal AS atau sistem informasi. Namun, organisasi swasta juga dapat menggunakan persyaratan sebagai kerangka panduan.
+ **NIST SP 800-171 Revisi 2** — Standar ini sejalan dengan rekomendasi keamanan NIST dan persyaratan untuk melindungi kerahasiaan Controlled Unclassified Information (CUI) dalam sistem dan organisasi yang bukan bagian dari pemerintah federal AS. *CUI* adalah informasi yang tidak memenuhi kriteria pemerintah untuk klasifikasi, tetapi dianggap sensitif dan dibuat atau dimiliki oleh pemerintah federal AS atau entitas lain atas nama pemerintah federal AS.
+ **PCI DSS** — Standar ini sejalan dengan kerangka kepatuhan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) yang ditentukan oleh Dewan Standar Keamanan PCI (SSC). Kerangka kerja ini menyediakan seperangkat aturan dan pedoman untuk menangani informasi kartu kredit dan debit dengan aman. Kerangka kerja ini umumnya berlaku untuk organisasi yang menyimpan, memproses, atau mengirimkan data pemegang kartu.
+ Standar **yang dikelola layanan, AWS Control Tower- Standar** ini membantu Anda mengonfigurasi kontrol detektif yang disediakan oleh Security Hub CSPM dari. AWS Control Tower AWS Control Tower menawarkan cara mudah untuk mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif.

Standar dan kontrol CSPM Security Hub tidak menjamin kepatuhan terhadap kerangka kerja peraturan atau audit apa pun. Sebaliknya, mereka menyediakan cara untuk mengevaluasi dan memantau keadaan Anda Akun AWS dan sumber daya. Sebaiknya aktifkan setiap standar yang relevan dengan kebutuhan bisnis, industri, atau kasus penggunaan Anda.

Kontrol individu dapat berlaku untuk lebih dari satu standar. Jika Anda mengaktifkan beberapa standar, kami sarankan Anda juga mengaktifkan temuan kontrol terkonsolidasi. Jika Anda melakukan ini, Security Hub CSPM menghasilkan satu temuan untuk setiap kontrol, bahkan jika kontrol berlaku untuk lebih dari satu standar. Jika Anda tidak mengaktifkan temuan kontrol konsolidasi, Security Hub CSPM menghasilkan temuan terpisah untuk setiap standar yang diaktifkan yang diterapkan oleh kontrol. Misalnya, jika Anda mengaktifkan dua standar dan kontrol berlaku untuk keduanya, Anda menerima dua temuan terpisah untuk kontrol, satu untuk setiap standar. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan untuk kontrol. Untuk informasi selengkapnya, lihat [Temuan kontrol terkonsolidasi](controls-findings-create-update.md#consolidated-control-findings).

**Topics**
+ [AWS Praktik Terbaik Keamanan Dasar](fsbp-standard.md)
+ [AWS Penandaan Sumber Daya](standards-tagging.md)
+ [Tolok Ukur AWS Yayasan CIS](cis-aws-foundations-benchmark.md)
+ [NIST SP 800-53 Revisi 5](standards-reference-nist-800-53.md)
+ [NIST SP 800-171 Revisi 2](standards-reference-nist-800-171.md)
+ [PCI DSS](pci-standard.md)
+ [Standar yang dikelola layanan](service-managed-standards.md)

# AWS Standar Praktik Terbaik Keamanan Dasar di Security Hub CSPM
<a name="fsbp-standard"></a>

Dikembangkan oleh AWS dan profesional industri, standar AWS Foundational Security Best Practices (FSBP) adalah kompilasi praktik terbaik keamanan untuk organisasi, terlepas dari sektor atau ukuran organisasi. Ini menyediakan seperangkat kontrol yang mendeteksi kapan Akun AWS dan sumber daya menyimpang dari praktik terbaik keamanan. Ini juga memberikan panduan preskriptif tentang bagaimana meningkatkan dan mempertahankan postur keamanan organisasi Anda.

Di AWS Security Hub CSPM, standar Praktik Terbaik Keamanan AWS Dasar mencakup kontrol yang terus mengevaluasi beban kerja Akun AWS dan Anda, dan membantu Anda mengidentifikasi area yang menyimpang dari praktik terbaik keamanan. Kontrol mencakup praktik terbaik keamanan untuk sumber daya dari beberapa sumber daya Layanan AWS. Setiap kontrol diberi kategori yang mencerminkan fungsi keamanan yang diterapkan kontrol. Untuk daftar kategori dan detail tambahan, lihat[Kategori kontrol](control-categories.md).

## Kontrol yang berlaku untuk standar
<a name="fsbp-controls"></a>

Daftar berikut menentukan kontrol CSPM AWS Security Hub mana yang berlaku untuk standar Praktik Terbaik Keamanan AWS Dasar (v1.0.0). Untuk meninjau detail kontrol, pilih kontrol.

 [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1) 

 [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1) 

 [[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2) 

 [[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan](apigateway-controls.md#apigateway-1) 

 [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 

 [[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran](apigateway-controls.md#apigateway-3) 

 [[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF](apigateway-controls.md#apigateway-4) 

 [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5) 

 [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 

 [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 

 [[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi](apigateway-controls.md#apigateway-10) 

 [[AppSync.1] Cache AWS AppSync API harus dienkripsi saat istirahat](appsync-controls.md#appsync-1) 

 [[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2) 

 [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 

 [[AppSync.6] Cache AWS AppSync API harus dienkripsi saat transit](appsync-controls.md#appsync-6) 

 [[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging](athena-controls.md#athena-4) 

 [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 

 [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 

 [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 

 [[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5) 

 [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 

 [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 

 [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 

 [[CloudFormation.3] CloudFormation tumpukan harus mengaktifkan perlindungan terminasi](cloudformation-controls.md#cloudformation-3) 

 [[CloudFormation.4] CloudFormation tumpukan harus memiliki peran layanan terkait](cloudformation-controls.md#cloudformation-4) 

 [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 

 [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 

 [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 

 [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 

 [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 

 [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 

 [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 

 [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 

 [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 

 [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 

 [[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal](cloudfront-controls.md#cloudfront-13) 

 [[CloudFront.15] CloudFront distribusi harus menggunakan kebijakan keamanan TLS yang direkomendasikan](cloudfront-controls.md#cloudfront-15) 

 [[CloudFront.16] CloudFront distribusi harus menggunakan kontrol akses asal untuk asal URL fungsi Lambda](cloudfront-controls.md#cloudfront-16) 

 [[CloudFront.17] CloudFront distribusi harus menggunakan grup kunci tepercaya untuk ditandatangani URLs dan cookie](cloudfront-controls.md#cloudfront-17) 

 [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 

 [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 

 [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 

 [[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat](codebuild-controls.md#codebuild-7) 

 [[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi](cognito-controls.md#cognito-2) 

 [[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat](cognito-controls.md#cognito-3) 

 [[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus](cognito-controls.md#cognito-4) 

 [[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito](cognito-controls.md#cognito-5) 

 [[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan](cognito-controls.md#cognito-6) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[Connect.2] Instans Amazon Connect seharusnya mengaktifkan logging CloudWatch](connect-controls.md#connect-2) 

 [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 

 [[DataSync.1] DataSync tugas harus mengaktifkan logging](datasync-controls.md#datasync-1) 

 [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 

 [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 

 [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 

 [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 

 [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 

 [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 

 [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 

 [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 

 [[DMS.13] Instans replikasi DMS harus dikonfigurasi untuk menggunakan beberapa Availability Zone](dms-controls.md#dms-13) 

 [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 

 [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 

 [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 

 [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 

 [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 

 [[DocumentDB.6] Cluster Amazon DocumentDB harus dienkripsi saat transit](documentdb-controls.md#documentdb-6) 

 [[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan](dynamodb-controls.md#dynamodb-1) 

 [[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time](dynamodb-controls.md#dynamodb-2) 

 [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 

 [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 

 [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 

 [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat](ec2-controls.md#ec2-3) 

 [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7) 

 [[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8) 

 [[EC2.9] Instans Amazon EC2 seharusnya tidak memiliki alamat publik IPv4](ec2-controls.md#ec2-9) 

 [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10) 

 [[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15) 

 [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16) 

 [[EC2.17] Instans Amazon EC2 tidak boleh menggunakan banyak ENIs](ec2-controls.md#ec2-17) 

 [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18) 

 [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19) 

 [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 

 [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 

 [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 

 [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 

 [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 

 [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 

[[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55)

[[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56)

[[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57)

[[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58)

[[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60)

 [[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170) 

 [[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171) 

 [[EC2.172] Pengaturan Akses Publik Blok VPC EC2 harus memblokir lalu lintas gateway internet](ec2-controls.md#ec2-172) 

 [[EC2.173] Permintaan Armada Spot EC2 dengan parameter peluncuran harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-173) 

 [[EC2.180] Antarmuka jaringan EC2 seharusnya mengaktifkan pemeriksaan source/destination](ec2-controls.md#ec2-180) 

 [[EC2.181] Templat peluncuran EC2 harus mengaktifkan enkripsi untuk volume EBS terlampir](ec2-controls.md#ec2-181) 

 [[EC2.182] Snapshots Amazon EBS seharusnya tidak dapat diakses publik](ec2-controls.md#ec2-182) 

 [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 

 [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 

 [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 

 [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) 

 [[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2) 

 [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 

 [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 

 [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 

 [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 

 [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 

 [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 

 [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 

 [[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16) 

 [[ECS.18] Definisi Tugas ECS harus menggunakan enkripsi dalam transit untuk volume EFS](ecs-controls.md#ecs-18) 

 [[ECS.19] Penyedia kapasitas ECS seharusnya mengelola perlindungan penghentian diaktifkan](ecs-controls.md#ecs-19) 

 [[ECS.20] Definisi Tugas ECS harus mengkonfigurasi pengguna non-root dalam definisi wadah Linux](ecs-controls.md#ecs-20) 

 [[ECS.21] Definisi Tugas ECS harus mengkonfigurasi pengguna non-administrator dalam definisi wadah Windows](ecs-controls.md#ecs-21) 

 [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 

 [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 

 [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 

 [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 

 [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 

 [[EFS.7] Sistem file EFS harus mengaktifkan pencadangan otomatis](efs-controls.md#efs-7) 

 [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8) 

 [[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1) 

 [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 

 [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 

 [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 

 [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 

 [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 

 [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 

 [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 

 [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 

 [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 

 [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 

 [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 

 [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 

 [[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3) 

 [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1) 

 [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 

 [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3) 

 [[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4) 

 [[ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan](elb-controls.md#elb-5) 

 [[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan](elb-controls.md#elb-6) 

 [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) 

 [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8) 

 [[ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona](elb-controls.md#elb-9) 

 [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 

 [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 

 [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 

 [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 

 [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 

 [[ELB.18] Pendengar Aplikasi dan Network Load Balancer harus menggunakan protokol aman untuk mengenkripsi data dalam perjalanan](elb-controls.md#elb-18) 

 [[ELB.21] Kelompok sasaran Aplikasi dan Network Load Balancer harus menggunakan protokol pemeriksaan kesehatan terenkripsi](elb-controls.md#elb-21) 

 [[ELB.22] Kelompok target ELB harus menggunakan protokol transportasi terenkripsi](elb-controls.md#elb-22) 

 [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 

 [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 

 [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 

 [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 

 [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 

 [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 

 [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 

 [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 

 [[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5) 

 [[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data](es-controls.md#es-6) 

 [[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus](es-controls.md#es-7) 

 [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8) 

 [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 

 [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 

 [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 

 [[FSx.3] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-3) 

 [[FSx.4] FSx untuk sistem file NetApp ONTAP harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-4) 

 [[FSx.5] FSx untuk sistem file Windows File Server harus dikonfigurasi untuk penyebaran Multi-AZ](fsx-controls.md#fsx-5) 

 [[Glue.3] transformasi pembelajaran AWS Glue mesin harus dienkripsi saat istirahat](glue-controls.md#glue-3) 

 [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 

 [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 

 [[GuardDuty.5] Pemantauan Log Audit GuardDuty EKS harus diaktifkan](guardduty-controls.md#guardduty-5) 

 [[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6) 

 [[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7) 

 [[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan](guardduty-controls.md#guardduty-8) 

 [[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9) 

 [[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10) 

 [[GuardDuty.11] GuardDuty Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-11) 

 [[GuardDuty.12] GuardDuty ECS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-12) 

 [[GuardDuty.13] GuardDuty EC2 Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-13) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 

 [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 

 [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 

 [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 

 [[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1) 

 [[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2) 

 [[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3) 

 [[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4) 

 [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 

 [[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai](kinesis-controls.md#kinesis-3) 

 [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 

 [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 

 [[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja](kms-controls.md#kms-3) 

 [[KMS.5] Kunci KMS tidak boleh diakses publik](kms-controls.md#kms-5) 

 [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 

 [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) 

 [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 

 [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 

 [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 

 [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 

 [[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3) 

 [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 

 [[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3) 

 [[MSK.4] Kluster MSK harus menonaktifkan akses publik](msk-controls.md#msk-4) 

 [[MSK.5] Konektor MSK seharusnya mengaktifkan logging](msk-controls.md#msk-5) 

 [[MSK.6] Kluster MSK harus menonaktifkan akses yang tidak diautentikasi](msk-controls.md#msk-6) 

 [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 

 [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 

 [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 

 [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 

 [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 

 [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 

 [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 

 [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 

 [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 

 [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 

 [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 

 [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 

 [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 

 [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 

 [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 

 [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 

 [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 

 [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 

 [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 

 [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 

 [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 

 [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 

 [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 

 [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 

 [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 

 [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 

 [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2) 

 [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3) 

 [[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat](rds-controls.md#rds-4) 

 [[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5) 

 [[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB](rds-controls.md#rds-6) 

 [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) 

 [[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-8) 

 [[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9) 

 [[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS](rds-controls.md#rds-10) 

 [[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis](rds-controls.md#rds-11) 

 [[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS](rds-controls.md#rds-12) 

 [[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13) 

 [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 

 [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 

 [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) 

 [[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot](rds-controls.md#rds-17) 

 [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19) 

 [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20) 

 [[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21) 

 [[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22) 

 [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23) 

 [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 

 [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 

 [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 

 [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 

 [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 

 [[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36) 

 [[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37) 

 [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 

 [[RDS.41] RDS untuk instance SQL Server DB harus dienkripsi saat transit](rds-controls.md#rds-41) 

 [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 

 [[RDS.43] Proksi RDS DB harus memerlukan enkripsi TLS untuk koneksi](rds-controls.md#rds-43) 

 [[RDS.44] RDS untuk instance MariaDB DB harus dienkripsi saat transit](rds-controls.md#rds-44) 

 [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 

 [[RDS.46] Instans RDS DB tidak boleh digunakan di subnet publik dengan rute ke gateway internet](rds-controls.md#rds-46) 

 [[RDS.47] RDS untuk cluster PostgreSQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-47) 

 [[RDS.48] RDS untuk cluster MySQL DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-48) 

 [[RDS.50] Cluster RDS DB harus memiliki periode retensi cadangan yang cukup](rds-controls.md#rds-50) 

 [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 

 [[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2) 

 [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 

 [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 

 [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 

 [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 

 [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 

 [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 

 [[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15) 

 [[Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ](redshift-controls.md#redshift-18) 

 [[RedshiftServerless.1] Grup kerja Amazon Redshift Tanpa Server harus menggunakan perutean VPC yang disempurnakan](redshiftserverless-controls.md#redshiftserverless-1) 

 [[RedshiftServerless.2] Koneksi ke grup kerja Redshift Serverless harus diperlukan untuk menggunakan SSL](redshiftserverless-controls.md#redshiftserverless-2) 

 [[RedshiftServerless.3] Kelompok kerja Redshift Tanpa Server harus melarang akses publik](redshiftserverless-controls.md#redshiftserverless-3) 

 [[RedshiftServerless.5] Ruang nama Redshift Tanpa Server tidak boleh menggunakan nama pengguna admin default](redshiftserverless-controls.md#redshiftserverless-5) 

 [[RedshiftServerless.6] Ruang nama Redshift Tanpa Server harus mengekspor log ke Log CloudWatch](redshiftserverless-controls.md#redshiftserverless-6) 

 [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 

 [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2) 

 [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3) 

 [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 

 [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6) 

 [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8) 

 [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9) 

 [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 

 [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 

 [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 

 [[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24) 

 [[S3.25] Bucket direktori S3 harus memiliki konfigurasi siklus hidup](s3-controls.md#s3-25) 

 [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 

 [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 

 [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 

 [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 

 [[SageMaker.5] SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-5) 

 [[SageMaker.8] instance SageMaker notebook harus berjalan pada platform yang didukung](sagemaker-controls.md#sagemaker-8) 

 [[SageMaker.9] definisi pekerjaan kualitas SageMaker data harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-9) 

 [[SageMaker.10] definisi pekerjaan penjelasan SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-10) 

 [[SageMaker.11] definisi pekerjaan kualitas SageMaker data harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-11) 

 [[SageMaker.12] definisi pekerjaan bias SageMaker model harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-12) 

 [[SageMaker.13] definisi pekerjaan kualitas SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-13) 

 [[SageMaker.14] jadwal SageMaker pemantauan harus mengaktifkan isolasi jaringan](sagemaker-controls.md#sagemaker-14) 

 [[SageMaker.15] definisi pekerjaan bias SageMaker model harus mengaktifkan enkripsi lalu lintas antar kontainer](sagemaker-controls.md#sagemaker-15) 

 [[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1) 

 [[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2) 

 [[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan](secretsmanager-controls.md#secretsmanager-3) 

 [[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4) 

 [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 

 [[SES.3] Set konfigurasi SES harus mengaktifkan TLS untuk mengirim email](ses-controls.md#ses-3) 

 [[SNS.4] Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik](sns-controls.md#sns-4) 

 [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 

 [[SQS.3] Kebijakan akses antrian SQS seharusnya tidak mengizinkan akses publik](sqs-controls.md#sqs-3) 

 [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 

 [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 

 [[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch](ssm-controls.md#ssm-6) 

 [[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok](ssm-controls.md#ssm-7) 

 [[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1) 

 [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 

 [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 

 [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 

 [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 

 [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 

 [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 

 [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 

 [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 

 [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 

 [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 

 [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 

 [[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-1) 

 [[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat](workspaces-controls.md#workspaces-2) 

# AWS Standar Penandaan Sumber Daya di Security Hub CSPM
<a name="standards-tagging"></a>

Standar Penandaan AWS Sumber Daya, yang dikembangkan oleh AWS Security Hub CSPM, membantu Anda menentukan apakah AWS sumber daya Anda kehilangan tag. *Tag* adalah pasangan nilai kunci yang bertindak sebagai metadata untuk mengatur sumber daya. AWS Dengan sebagian besar AWS sumber daya, Anda memiliki opsi untuk menambahkan tag ke sumber daya saat Anda membuat sumber daya atau setelah Anda membuat sumber daya. Contoh sumber daya termasuk CloudFront distribusi Amazon, instans Amazon Elastic Compute Cloud (Amazon EC2), dan rahasia di. AWS Secrets Manager Tag dapat membantu Anda mengelola, mengidentifikasi, mengatur, mencari, dan memfilter AWS sumber daya.

Setiap tag memiliki dua bagian:
+ Kunci tag—misalnya,, `CostCenter``Environment`, atau. `Project` Kunci tag peka huruf besar dan kecil.
+ Nilai tag—misalnya, atau. `111122223333` `Production` Seperti kunci tag, nilai tag peka huruf besar dan kecil.

Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Untuk informasi tentang menambahkan tag ke AWS sumber daya, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).

Untuk setiap kontrol yang berlaku untuk standar Penandaan AWS Sumber Daya di Security Hub CSPM, Anda dapat menggunakan parameter yang didukung secara opsional untuk menentukan kunci tag yang ingin diperiksa oleh kontrol. Jika Anda tidak menentukan kunci tag apa pun, kontrol hanya memeriksa keberadaan setidaknya satu kunci tag, dan gagal jika sumber daya tidak memiliki kunci tag.

Sebelum Anda mengaktifkan standar Penandaan AWS Sumber Daya, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya. AWS Config Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar. Untuk informasi selengkapnya, termasuk daftar jenis sumber daya yang akan direkam, lihat[ AWS Config Sumber daya yang diperlukan untuk temuan kontrol](controls-config-resources.md).

Setelah Anda mengaktifkan standar Penandaan AWS Sumber Daya, Anda mulai menerima temuan untuk kontrol yang berlaku untuk standar. Perhatikan bahwa CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan yang sama dengan kontrol yang berlaku untuk standar lain yang diaktifkan. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Standar Penandaan AWS Sumber Daya memiliki Nama Sumber Daya Amazon (ARN) berikut`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`:, *region* di mana kode Wilayah untuk yang berlaku. Wilayah AWS Anda juga dapat menggunakan [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)pengoperasian Security Hub CSPM API untuk mengambil ARN dari standar yang saat ini diaktifkan.

**catatan**  
[Standar Penandaan AWS Sumber Daya](#standards-tagging) tidak tersedia di Wilayah Asia Pasifik (Selandia Baru) dan Asia Pasifik (Taipei).

## Kontrol yang berlaku untuk standar
<a name="tagging-standard-controls"></a>

Daftar berikut menentukan kontrol CSPM AWS Security Hub yang berlaku untuk standar AWS Resource Tagging (v1.0.0). Untuk meninjau detail kontrol, pilih kontrol.
+ [[ACM.3] Sertifikat ACM harus ditandai](acm-controls.md#acm-3)
+ [[Amplify.1] Aplikasi Amplify harus diberi tag](amplify-controls.md#amplify-1)
+ [[Amplify.2] Amplify branch harus diberi tag](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig aplikasi harus diberi tag](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] profil AWS AppConfig konfigurasi harus ditandai](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig lingkungan harus ditandai](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] asosiasi AWS AppConfig ekstensi harus ditandai](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] AppFlow Aliran Amazon harus ditandai](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Layanan App Runner harus diberi tag](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Konektor VPC App Runner harus diberi tag](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync APIs GraphQL harus diberi tag](appsync-controls.md#appsync-4)
+ [[Athena.2] Katalog data Athena harus diberi tag](athena-controls.md#athena-2)
+ [[Athena.3] Kelompok kerja Athena harus ditandai](athena-controls.md#athena-3)
+ [[AutoScaling.10] Grup EC2 Auto Scaling harus diberi tag](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] poin AWS Backup pemulihan harus ditandai](backup-controls.md#backup-2)
+ [[Backup.3] AWS Backup brankas harus ditandai](backup-controls.md#backup-3)
+ [[Backup.4] rencana AWS Backup laporan harus ditandai](backup-controls.md#backup-4)
+ [[Backup.5] rencana AWS Backup cadangan harus ditandai](backup-controls.md#backup-5)
+ [[Batch.1] Antrian pekerjaan batch harus ditandai](batch-controls.md#batch-1)
+ [[Batch.2] Kebijakan penjadwalan batch harus ditandai](batch-controls.md#batch-2)
+ [[Batch.3] Lingkungan komputasi Batch harus ditandai](batch-controls.md#batch-3)
+ [[Batch.4] Properti sumber daya komputasi di lingkungan komputasi Batch terkelola harus ditandai](batch-controls.md#batch-4)
+ [[CloudFormation.2] CloudFormation tumpukan harus ditandai](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] CloudFront distribusi harus ditandai](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] CloudTrail jejak harus ditandai](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] CodeArtifact repositori harus diberi tag](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Grup CodeGuru profil profiler harus diberi tag](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Asosiasi CodeGuru repositori peninjau harus diberi tag](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Jenis objek Amazon Connect Customer Profiles harus diberi tag](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync tugas harus ditandai](datasync-controls.md#datasync-2)
+ [[Detective.1] Grafik perilaku detektif harus diberi tag](detective-controls.md#detective-1)
+ [[DMS.2] Sertifikat DMS harus ditandai](dms-controls.md#dms-2)
+ [[DMS.3] Langganan acara DMS harus ditandai](dms-controls.md#dms-3)
+ [[DMS.4] Contoh replikasi DMS harus ditandai](dms-controls.md#dms-4)
+ [[DMS.5] Grup subnet replikasi DMS harus ditandai](dms-controls.md#dms-5)
+ [[DynamoDB.5] Tabel DynamoDB harus diberi tag](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Lampiran gateway transit EC2 harus ditandai](ec2-controls.md#ec2-33)
+ [[EC2.34] Tabel rute gateway transit EC2 harus ditandai](ec2-controls.md#ec2-34)
+ [[EC2.35] Antarmuka jaringan EC2 harus ditandai](ec2-controls.md#ec2-35)
+ [[EC2.36] Gateway pelanggan EC2 harus ditandai](ec2-controls.md#ec2-36)
+ [[EC2.37] Alamat IP Elastis EC2 harus ditandai](ec2-controls.md#ec2-37)
+ [[EC2.38] Instans EC2 harus ditandai](ec2-controls.md#ec2-38)
+ [[EC2.39] Gerbang internet EC2 harus ditandai](ec2-controls.md#ec2-39)
+ [[EC2.40] Gerbang EC2 NAT harus ditandai](ec2-controls.md#ec2-40)
+ [[EC2.41] Jaringan EC2 harus ditandai ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Tabel rute EC2 harus ditandai](ec2-controls.md#ec2-42)
+ [[EC2.43] Grup keamanan EC2 harus ditandai](ec2-controls.md#ec2-43)
+ [[EC2.44] Subnet EC2 harus ditandai](ec2-controls.md#ec2-44)
+ [[EC2.45] Volume EC2 harus ditandai](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs harus ditandai](ec2-controls.md#ec2-46)
+ [[EC2.47] Layanan titik akhir Amazon VPC harus ditandai](ec2-controls.md#ec2-47)
+ [[EC2.48] Log aliran VPC Amazon harus ditandai](ec2-controls.md#ec2-48)
+ [[EC2.49] Koneksi peering VPC Amazon harus ditandai](ec2-controls.md#ec2-49)
+ [[EC2.50] Gateway EC2 VPN harus ditandai](ec2-controls.md#ec2-50)
+ [[EC2.52] Gerbang transit EC2 harus ditandai](ec2-controls.md#ec2-52)
+ [[EC2.174] Set opsi EC2 DHCP harus ditandai](ec2-controls.md#ec2-174)
+ [[EC2.175] Templat peluncuran EC2 harus diberi tag](ec2-controls.md#ec2-175)
+ [[EC2.176] Daftar awalan EC2 harus ditandai](ec2-controls.md#ec2-176)
+ [[EC2.177] Sesi cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-177)
+ [[EC2.178] Filter cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-178)
+ [[EC2.179] Target cermin lalu lintas EC2 harus ditandai](ec2-controls.md#ec2-179)
+ [[ECR.4] Repositori publik ECR harus ditandai](ecr-controls.md#ecr-4)
+ [[ECS.13] Layanan ECS harus ditandai](ecs-controls.md#ecs-13)
+ [[ECS.14] Cluster ECS harus ditandai](ecs-controls.md#ecs-14)
+ [[ECS.15] Definisi tugas ECS harus ditandai](ecs-controls.md#ecs-15)
+ [[EFS.5] Titik akses EFS harus ditandai](efs-controls.md#efs-5)
+ [[EKS.6] Kluster EKS harus ditandai](eks-controls.md#eks-6)
+ [[EKS.7] Konfigurasi penyedia identitas EKS harus ditandai](eks-controls.md#eks-7)
+ [[ES.9] Domain Elasticsearch harus diberi tag](es-controls.md#es-9)
+ [[EventBridge.2] bus EventBridge acara harus diberi tag](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Jenis entitas Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Label Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Hasil Amazon Fraud Detector harus ditandai](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Variabel Amazon Fraud Detector harus diberi tag](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Akselerator Akselerator Global harus diberi tag](globalaccelerator-controls.md#globalaccelerator-1)
+ [AWS Glue Pekerjaan [Glue.1] harus ditandai](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty filter harus diberi tag](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets harus ditandai](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] GuardDuty detektor harus ditandai](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Penganalisis Akses IAM harus ditandai](iam-controls.md#iam-23)
+ [[IAM.24] Peran IAM harus ditandai](iam-controls.md#iam-24)
+ [[IAM.25] Pengguna IAM harus diberi tag](iam-controls.md#iam-25)
+ [[IoT.1] profil AWS IoT Device Defender keamanan harus ditandai](iot-controls.md#iot-1)
+ [[IoT.2] tindakan AWS IoT Core mitigasi harus ditandai](iot-controls.md#iot-2)
+ [[IoT.3] AWS IoT Core dimensi harus ditandai](iot-controls.md#iot-3)
+ [[IoT.4] AWS IoT Core otorisasi harus diberi tag](iot-controls.md#iot-4)
+ [[IoT.5] alias AWS IoT Core peran harus ditandai](iot-controls.md#iot-5)
+ [AWS IoT Core Kebijakan [IoT.6] harus ditandai](iot-controls.md#iot-6)
+ [[Io TEvents .1] Input Peristiwa AWS IoT harus diberi tag](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Model detektor Acara AWS IoT harus diberi tag](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Model alarm AWS IoT Events harus diberi tag](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Model aset AWS IoT harus ditandai SiteWise](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Dasbor AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Gateway AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Portal AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Proyek AWS IoT harus diberi tag SiteWise](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Pekerjaan sinkronisasi AWS IoT harus ditandai TwinMaker](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Ruang kerja AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Adegan AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Entitas AWS IoT harus diberi tag TwinMaker](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Grup multicast Nirkabel AWS IoT harus diberi tag](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Profil layanan AWS IoT Wireless harus diberi tag](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Tugas AWS IoT FUOTA harus ditandai](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Pasangan kunci pemutaran IVS harus ditandai](ivs-controls.md#ivs-1)
+ [[IVS.2] Konfigurasi perekaman IVS harus ditandai](ivs-controls.md#ivs-2)
+ [[IVS.3] Saluran IVS harus ditandai](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Ruang kunci Amazon Keyspaces harus diberi tag](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Aliran kinesis harus ditandai](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Fungsi Lambda harus ditandai](lambda-controls.md#lambda-6)
+ [[MQ.4] Broker Amazon MQ harus diberi tag](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Firewall Firewall Jaringan harus diberi tag](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Kebijakan firewall Network Firewall harus ditandai](networkfirewall-controls.md#networkfirewall-8)
+ [[Opensearch.9] domain harus ditandai OpenSearch](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Otoritas sertifikat CA AWS swasta harus ditandai](pca-controls.md#pca-2)
+ [[RDS.28] Cluster RDS DB harus ditandai](rds-controls.md#rds-28)
+ [[RDS.29] Snapshot cluster RDS DB harus ditandai](rds-controls.md#rds-29)
+ [[RDS.30] Instans RDS DB harus ditandai](rds-controls.md#rds-30)
+ [[RDS.31] Grup keamanan RDS DB harus ditandai](rds-controls.md#rds-31)
+ [[RDS.32] Snapshot RDS DB harus ditandai](rds-controls.md#rds-32)
+ [[RDS.33] Grup subnet RDS DB harus ditandai](rds-controls.md#rds-33)
+ [[Redshift.11] Cluster Redshift harus ditandai](redshift-controls.md#redshift-11)
+ [[Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai](redshift-controls.md#redshift-12)
+ [[Redshift.13] Cuplikan cluster Redshift harus ditandai](redshift-controls.md#redshift-13)
+ [[Redshift.14] Grup subnet cluster Redshift harus ditandai](redshift-controls.md#redshift-14)
+ [[Redshift.17] Grup parameter cluster Redshift harus diberi tag](redshift-controls.md#redshift-17)
+ [[Route53.1] Pemeriksaan kesehatan rute 53 harus ditandai](route53-controls.md#route53-1)
+ [[SageMaker.6] konfigurasi gambar SageMaker aplikasi harus ditandai](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] SageMaker gambar harus diberi tag](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Rahasia Secrets Manager harus ditandai](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Daftar kontak SES harus ditandai](ses-controls.md#ses-1)
+ [[SES.2] Set konfigurasi SES harus ditandai](ses-controls.md#ses-2)
+ [[SNS.3] Topik SNS harus ditandai](sns-controls.md#sns-3)
+ [[SQS.2] Antrian SQS harus ditandai](sqs-controls.md#sqs-2)
+ [[SSM.5] Dokumen SSM harus diberi tag](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Aktivitas Step Functions harus diberi tag](stepfunctions-controls.md#stepfunctions-2)
+ [[Transfer.1] AWS Transfer Family alur kerja harus ditandai](transfer-controls.md#transfer-1)
+ [[Transfer.4] Perjanjian Transfer Family harus ditandai](transfer-controls.md#transfer-4)
+ [[Transfer.5] Sertifikat Transfer Family harus diberi tag](transfer-controls.md#transfer-5)
+ [[Transfer.6] Konektor Transfer Family harus diberi tag](transfer-controls.md#transfer-6)
+ [[Transfer.7] Profil Transfer Family harus diberi tag](transfer-controls.md#transfer-7)

# Tolok Ukur AWS Yayasan CIS di Security Hub CSPM
<a name="cis-aws-foundations-benchmark"></a>

Tolok Ukur AWS Yayasan Center for Internet Security (CIS) berfungsi sebagai seperangkat praktik terbaik konfigurasi keamanan untuk. AWS Praktik terbaik yang diterima industri ini memberi Anda prosedur step-by-step implementasi, dan penilaian yang jelas. Mulai dari sistem operasi hingga layanan cloud dan perangkat jaringan, kontrol dalam tolok ukur ini membantu Anda melindungi sistem spesifik yang digunakan organisasi Anda. 

AWS Security Hub CSPM mendukung CIS AWS Foundations Benchmark versi 5.0.0, 3.0.0, 1.4.0, dan 1.2.0. Halaman ini mencantumkan kontrol keamanan yang didukung setiap versi. Ini juga menyediakan perbandingan versi.

## Tolok Ukur AWS Yayasan CIS versi 5.0.0
<a name="cis5v0-standard"></a>

Security Hub CSPM mendukung versi 5.0.0 (v5.0.0) dari CIS Foundations Benchmark. AWS Security Hub CSPM telah memenuhi persyaratan Sertifikasi Perangkat Lunak Keamanan CIS dan telah dianugerahi Sertifikasi Perangkat Lunak Keamanan CIS untuk Tolok Ukur CIS berikut: 
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v5.0.0, Level 1
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v5.0.0, Level 2

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 5.0.0
<a name="cis5v0-controls"></a>

[[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)

[[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)

[[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)

[[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)

[[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)

[[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)

[[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1)

[[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8)

[[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)

[[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)

[[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)

[[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)

[[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)

[[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)

[[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)

[[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)

[[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)

[[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)

[[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28)

[[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)

[[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)

[[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5)

[[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)

[[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15)

[[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)

[[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)

[[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)

[[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)

[[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22)

[[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23)

## Tolok Ukur AWS Yayasan CIS versi 3.0.0
<a name="cis3v0-standard"></a>

Security Hub CSPM mendukung versi 3.0.0 (v3.0.0) dari CIS Foundations Benchmark. AWS Security Hub CSPM telah memenuhi persyaratan Sertifikasi Perangkat Lunak Keamanan CIS dan telah dianugerahi Sertifikasi Perangkat Lunak Keamanan CIS untuk Tolok Ukur CIS berikut: 
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v3.0.0, Level 1
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v3.0.0, Level 2

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 3.0.0
<a name="cis3v0-controls"></a>

[[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)

[[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)

[[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)

[[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)

[[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)

[[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)

[[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)

[[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)

[[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)

[[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)

[[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1)

[[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)

[[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)

[[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)

[[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)

[[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)

[[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)

[[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)

[[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)

[[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)

[[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)

[[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)

[[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)

[[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28)

[[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)

[[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)

[[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)

[[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)

[[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)

[[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)

[[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)

[[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22)

[[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23)

## Tolok Ukur AWS Yayasan CIS versi 1.4.0
<a name="cis1v4-standard"></a>

Security Hub CSPM mendukung versi 1.4.0 (v1.4.0) dari CIS Foundations Benchmark. AWS 

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 1.4.0
<a name="cis1v4-controls"></a>

 [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7) 

 [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 

 [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 

 [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 

 [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 

 [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) 

 [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 

 [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3) 

 [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 

 [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 

 [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8) 

 [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 

## Tolok Ukur AWS Yayasan CIS versi 1.2.0
<a name="cis1v2-standard"></a>

Security Hub CSPM mendukung versi 1.2.0 (v1.2.0) dari CIS Foundations Benchmark. AWS Security Hub CSPM telah memenuhi persyaratan Sertifikasi Perangkat Lunak Keamanan CIS dan telah dianugerahi Sertifikasi Perangkat Lunak Keamanan CIS untuk Tolok Ukur CIS berikut: 
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v1.2.0, Level 1
+ Tolok Ukur CIS untuk Tolok Ukur AWS Yayasan CIS, v1.2.0, Level 2

### Kontrol yang berlaku untuk CIS AWS Foundations Benchmark versi 1.2.0
<a name="cis1v2-controls"></a>

 [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6) 

 [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) 

 [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2) 

 [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3) 

 [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4) 

 [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5) 

 [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6) 

 [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7) 

 [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8) 

 [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9) 

 [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10) 

 [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11) 

 [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12) 

 [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13) 

 [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13) 

 [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 

 [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 

 [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 

 [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11) 

 [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12) 

 [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13) 

 [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14) 

 [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15) 

 [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16) 

 [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17) 

 [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18) 

 [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 

## Perbandingan versi untuk CIS AWS Foundations Benchmark
<a name="cis1.4-vs-cis1.2"></a>

Bagian ini merangkum perbedaan antara versi spesifik dari Center for Internet Security (CIS) AWS Foundation Benchmark — v5.0.0, v3.0.0, v1.4.0, dan v1.2.0. AWS Security Hub CSPM mendukung masing-masing versi CIS AWS Foundations Benchmark ini. Namun, sebaiknya gunakan v5.0.0 agar tetap mengikuti praktik terbaik keamanan. Anda dapat mengaktifkan beberapa versi standar CIS AWS Foundations Benchmark secara bersamaan. Untuk informasi tentang mengaktifkan standar, lihat[Mengaktifkan standar keamanan](enable-standards.md). Jika Anda ingin memutakhirkan ke v5.0.0, aktifkan sebelum Anda menonaktifkan versi yang lebih lama. Ini mencegah celah dalam pemeriksaan keamanan Anda. [Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations dan ingin mengaktifkan v5.0.0 secara batch di beberapa akun, sebaiknya gunakan konfigurasi pusat.](central-configuration-intro.md)

### Pemetaan kontrol ke persyaratan CIS di setiap versi
<a name="cis-version-comparison"></a>

Memahami kontrol mana yang mendukung setiap versi CIS AWS Foundations Benchmark.


| Kontrol ID dan judul | Persyaratan CIS v5.0.0 | Persyaratan CIS v3.0.0 | Persyaratan CIS v1.4.0 | Persyaratan CIS v1.2.0 | 
| --- | --- | --- | --- | --- | 
|  [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)  |  1.2  |  1.2  |  1.2  |  1.18  | 
|  [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1)  |  3.1  |  3.1  |  3.1  |  2.1  | 
|  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)  |  3.5  |  3.5  |  3.7  |  2.7  | 
|  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)  |  3.2  |  3.2  |  3.2  |  2.2  | 
|  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  3.4  |  2.4  | 
|  [[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  3.3  |  2.3  | 
|  [[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)  |  3.4  |  3.4  |  3.6  |  2.6  | 
|  [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.3  |  3.3  | 
|  [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  3.1  | 
|  [[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA](cloudwatch-controls.md#cloudwatch-3)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  3.2  | 
|  [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.4  |  3.4  | 
|  [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4,5  |  3.5  | 
|  [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.6  |  3.6  | 
|  [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.7  |  3.7  | 
|  [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.8  |  3.8  | 
|  [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.9  |  3.9  | 
|  [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.10  |  3.10  | 
|  [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.11  |  3.11  | 
|  [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.12  |  3.12  | 
|  [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.13  |  3.13  | 
|  [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  4.14  |  3.14  | 
|  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1)  |  3.3  |  3.3  |  3.5  |  2.5  | 
|  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2)  |  5.5  |  5.4  |  5.3  |  4.3  | 
|  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)  |  3.7  |  3.7  |  3.9  |  2.9  | 
|  [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7)  |  5.1.1  |  2.2.1  |  2.2.1  |  Tidak didukung  | 
|  [[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)  |  5.7  |  5.6  |  Tidak didukung  |  Tidak didukung  | 
|  [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)  |  Tidak didukung - digantikan oleh persyaratan 5.3 dan 5.4  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  4.1  | 
|  [[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)  |  Tidak didukung - digantikan oleh persyaratan 5.3 dan 5.4  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3  |  4.2  | 
|  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)  |  5.2  |  5.1  |  5.1  |  Tidak didukung  | 
|  [[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)  |  5.3  |  5.2  |  Tidak didukung  |  Tidak didukung  | 
|  [[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)  |  5.4  |  5.3  |  Tidak didukung  |  Tidak didukung  | 
|  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1)  |  2.3.1  |  2.4.1  |  Tidak didukung  |  Tidak didukung  | 
|  [[EFS.8] Sistem file EFS harus dienkripsi saat istirahat](efs-controls.md#efs-8)  |  2.3.1  |  Tidak didukung  |  Tidak didukung  |  Tidak didukung  | 
|  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)  |  Tidak didukung   |  Tidak didukung   |  1.16  |  1.22  | 
|  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)  |  1.14  |  1.15  |  Tidak didukung  |  1.16  | 
|  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)  |  1.13  |  1.14  |  1.14  |  1.4  | 
|  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4)  |  1.3  |  1.4  |  1.4  |  1.12  | 
|  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)  |  1.9  |  1.10  |  1.10  |  1.2  | 
|  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)  |  1.5  |  1.6  |  1.6  |  1.14  | 
|  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)  |  Tidak didukung — lihat [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) sebagai gantinya  |  Tidak didukung — lihat [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) sebagai gantinya  |  Tidak didukung — lihat [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22) sebagai gantinya  |  1.3  | 
|  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)  |  1.4  |  1.5  |  1.5  |  1.13  | 
|  [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.5  | 
|  [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.6  | 
|  [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.7  | 
|  [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.8  | 
|  [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)  |  1.7  |  1.8  |  1.8  |  1.9  | 
|  [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)  |  1.8  |  1.9  |  1.9  |  1.10  | 
|  [[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.11  | 
|  [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)  |  1.16  |  1.17  |  1.17  |  1.2  | 
|  [[IAM.20] Hindari penggunaan pengguna root](iam-controls.md#iam-20)  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  Tidak didukung - CIS menghapus persyaratan ini  |  1.1  | 
|  [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)  |  1.11  |  1.12  |  1.12  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[IAM.26] SSL/TLS Sertifikat kedaluwarsa yang dikelola di IAM harus dihapus](iam-controls.md#iam-26)  |  1.18  |  1.19  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[IAM.27] Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess](iam-controls.md#iam-27)  |  1.21  |  1.22  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan](iam-controls.md#iam-28)  |  1.19  |  1.20  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)  |  3.6  |  3.6  |  3.8  |  2.8  | 
|  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1)  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  |  Tidak didukung - pemeriksaan manual  | 
|  [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)  |  2.2.3  |  2.3.3  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3)  |  2.2.1  |  2.3.1  |  2.3.1  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5)  |  2.2.4  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)  |  2.2.2  |  2.3.2  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15)  |  2.2.4  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)  |  2.1.4  |  2.1.4  |  2.1.5  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)  |  2.1.1  |  2.1.1  |  2.1.2  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)  |  2.1.4  |  2.1.4  |  2.1.5  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 
|  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20)  |  2.1.2  |  2.1.2  |  2.1.3  |  Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru  | 

### ARNs untuk Tolok Ukur AWS Yayasan CIS
<a name="cisv1.4.0-finding-fields"></a>

Saat Anda mengaktifkan satu atau lebih versi Tolok Ukur AWS Yayasan CIS, Anda mulai menerima temuan di AWS Security Finding Format (ASFF). Di ASFF, setiap versi menggunakan Amazon Resource Name (ARN) berikut:

**Tolok Ukur AWS Yayasan CIS v5.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`

**Tolok Ukur AWS Yayasan CIS v3.0.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`

**Tolok Ukur AWS Yayasan CIS v1.4.0**  
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`

**Tolok Ukur AWS Yayasan CIS v1.2.0**  
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`

Anda dapat menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)pengoperasian Security Hub CSPM API untuk menemukan ARN standar yang diaktifkan.

Nilai-nilai sebelumnya adalah untuk. `StandardsArn` Namun, `StandardsSubscriptionArn` mengacu pada sumber daya langganan standar yang dibuat CSPM Security Hub saat Anda berlangganan standar dengan menelepon [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html)di Wilayah.

**catatan**  
Saat Anda mengaktifkan versi Tolok Ukur AWS Yayasan CIS, CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan yang sama dengan kontrol yang diaktifkan dalam standar lain yang diaktifkan. Untuk informasi lebih lanjut tentang jadwal untuk menghasilkan temuan kontrol, lihat[Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Menemukan bidang berbeda jika Anda mengaktifkan temuan kontrol konsolidasi. Untuk informasi tentang perbedaan-perbedaan ini, lihat[Dampak konsolidasi pada bidang dan nilai ASFF](asff-changes-consolidation.md). Untuk temuan kontrol sampel, lihat[Sampel temuan kontrol](sample-control-findings.md).

### Persyaratan CIS yang tidak didukung di Security Hub CSPM
<a name="securityhub-standards-cis-checks-not-supported"></a>

Seperti disebutkan dalam tabel sebelumnya, Security Hub CSPM tidak mendukung setiap persyaratan CIS di setiap versi CIS Foundations Benchmark. AWS Banyak persyaratan yang tidak didukung hanya dapat dievaluasi dengan meninjau status sumber daya Anda secara manual. AWS 

# NIST SP 800-53 Revisi 5 di Security Hub CSPM
<a name="standards-reference-nist-800-53"></a>

NIST Special Publication 800-53 Revision 5 (NIST SP 800-53 Rev. 5) adalah kerangka kerja keamanan siber dan kepatuhan yang dikembangkan oleh National Institute of Standards and Technology (NIST), sebuah lembaga yang merupakan bagian dari Departemen Perdagangan AS. Kerangka kepatuhan ini menyediakan katalog persyaratan keamanan dan privasi untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem informasi dan sumber daya penting. Instansi dan kontraktor pemerintah federal AS harus mematuhi persyaratan ini untuk melindungi sistem dan organisasi mereka. Organisasi swasta juga dapat secara sukarela menggunakan persyaratan sebagai kerangka panduan untuk mengurangi risiko keamanan siber. Untuk informasi lebih lanjut tentang kerangka kerja dan persyaratannya, lihat [NIST SP 800-53 Rev. 5 di NIST](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) Computer Security *Resource* Center.

AWS Security Hub CSPM menyediakan kontrol keamanan yang mendukung subset persyaratan NIST SP 800-53 Revisi 5. Kontrol melakukan pemeriksaan keamanan otomatis untuk sumber daya tertentu Layanan AWS dan. Untuk mengaktifkan dan mengelola kontrol ini, Anda dapat mengaktifkan kerangka kerja NIST SP 800-53 Revisi 5 sebagai standar di Security Hub CSPM. Perhatikan bahwa kontrol tidak mendukung persyaratan NIST SP 800-53 Revisi 5 yang memerlukan pemeriksaan manual.

Tidak seperti kerangka kerja lainnya, kerangka kerja NIST SP 800-53 Revisi 5 tidak preskriptif tentang bagaimana persyaratannya harus dievaluasi. Sebaliknya, kerangka kerja memberikan pedoman. Dalam Security Hub CSPM, standar dan kontrol NIST SP 800-53 Revisi 5 mewakili pemahaman layanan tentang pedoman ini.

**Topics**
+ [Mengkonfigurasi perekaman sumber daya untuk standar](#standards-reference-nist-800-53-recording)
+ [Menentukan kontrol mana yang berlaku untuk standar](#standards-reference-nist-800-53-controls)

## Mengkonfigurasi perekaman sumber daya untuk kontrol yang berlaku untuk standar
<a name="standards-reference-nist-800-53-recording"></a>

Untuk mengoptimalkan cakupan dan keakuratan temuan, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar NIST SP 800-53 Revisi 5 di CSPM Security Hub AWS . Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Ini terutama untuk kontrol yang memiliki jenis jadwal yang *dipicu perubahan*. Namun, beberapa kontrol dengan jenis jadwal *berkala* juga memerlukan perekaman sumber daya. Jika perekaman sumber daya tidak diaktifkan atau dikonfigurasi dengan benar, CSPM Security Hub mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku pada standar.

Untuk informasi tentang cara Security Hub CSPM menggunakan rekaman sumber daya AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi tentang mengonfigurasi perekaman sumber daya AWS Config, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Tabel berikut menentukan jenis sumber daya untuk merekam kontrol yang berlaku untuk standar NIST SP 800-53 Revisi 5 di Security Hub CSPM.


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
|  Amazon API Gateway  |  `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`  | 
|  AWS AppSync  |  `AWS::AppSync::GraphQLApi`  | 
|  AWS Backup  |  `AWS::Backup::RecoveryPoint`  | 
|  AWS Certificate Manager (ACM)  |  `AWS::ACM::Certificate`  | 
|  AWS CloudFormation  |  `AWS::CloudFormation::Stack`  | 
|  Amazon CloudFront  |  `AWS::CloudFront::Distribution`  | 
|  Amazon CloudWatch  |  `AWS::CloudWatch::Alarm`  | 
|  AWS CodeBuild  |  `AWS::CodeBuild::Project`  | 
|  AWS Database Migration Service (AWS DMS)  |  `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`  | 
|  Amazon DynamoDB  |  `AWS::DynamoDB::Table`  | 
|  Amazon Elastic Compute Cloud (Amazon EC2)  |  `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`  | 
|  Amazon EC2 Auto Scaling  |  `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`  | 
|  Amazon Elastic Container Registry (Amazon ECR)  |  `AWS::ECR::Repository`  | 
|  Amazon Elastic Container Service (Amazon ECS)  |  `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`  | 
|  Amazon Elastic File System (Amazon EFS)  |  `AWS::EFS::AccessPoint`  | 
|  Amazon Elastic Kubernetes Service (Amazon EKS)  |  `AWS::EKS::Cluster`  | 
|  AWS Elastic Beanstalk  |  `AWS::ElasticBeanstalk::Environment`  | 
|  Elastic Load Balancing  |  `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`  | 
|  Amazon ElasticSearch  |  `AWS::Elasticsearch::Domain`  | 
|  Amazon EMR  |  `AWS::EMR::SecurityConfiguration`  | 
|  Amazon EventBridge  |  `AWS::Events::Endpoint`, `AWS::Events::EventBus`  | 
|  AWS Glue  |  `AWS::Glue::Job`  | 
|  AWS Identity and Access Management (IAM)  |  `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`  | 
|  AWS Key Management Service (AWS KMS)  |  `AWS::KMS::Alias`, `AWS::KMS::Key`  | 
|  Amazon Kinesis  |  `AWS::Kinesis::Stream`  | 
|  AWS Lambda  |  `AWS::Lambda::Function`  | 
|  Amazon Managed Streaming for Apache Kafka (Amazon MSK)  |  `AWS::MSK::Cluster`  | 
|  Amazon MQ  |  `AWS::AmazonMQ::Broker`  | 
|  AWS Network Firewall  |  `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`  | 
|   OpenSearch Layanan Amazon  |  `AWS::OpenSearch::Domain`  | 
|  Amazon Relational Database Service (Amazon RDS)  |  `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`  | 
|  Amazon Redshift  |  `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`  | 
|  Amazon Route 53  |  `AWS::Route53::HostedZone`  | 
|  Amazon Simple Storage Service (Amazon S3)  |  `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`  | 
|  AWS Service Catalog  |  `AWS::ServiceCatalog::Portfolio`  | 
|  Amazon Simple Notification Service (Amazon SNS)  |  `AWS::SNS::Topic`  | 
|  Amazon Simple Queue Service (Amazon SQS)  |  `AWS::SQS::Queue`  | 
| Amazon EC2 Systems Manager (SSM)  |  `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`  | 
|  Amazon SageMaker AI  |  `AWS::SageMaker::NotebookInstance`  | 
|  AWS Secrets Manager  |  `AWS::SecretsManager::Secret`  | 
|  AWS Transfer Family  |  `AWS::Transfer::Connector`  | 
|  AWS WAF  |  `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`  | 

## Menentukan kontrol mana yang berlaku untuk standar
<a name="standards-reference-nist-800-53-controls"></a>

Daftar berikut menentukan kontrol yang mendukung persyaratan NIST SP 800-53 Revisi 5 dan berlaku untuk standar NIST SP 800-53 Revisi 5 di Security Hub CSPM. AWS Untuk detail tentang persyaratan spesifik yang didukung kontrol, pilih kontrol. Kemudian lihat bidang **Persyaratan terkait** di detail untuk kontrol. Bidang ini menentukan setiap persyaratan NIST yang didukung kontrol. Jika bidang tidak menentukan persyaratan NIST tertentu, kontrol tidak mendukung persyaratan.
+ [[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS](account-controls.md#account-1)
+ [[Akun.2] Akun AWS harus menjadi bagian dari organisasi AWS Organizations](account-controls.md#account-2)
+ [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)
+ [[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan](apigateway-controls.md#apigateway-1)
+  [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2) 
+  [[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran](apigateway-controls.md#apigateway-3) 
+  [[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF](apigateway-controls.md#apigateway-4) 
+  [[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat](apigateway-controls.md#apigateway-5) 
+  [[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi](apigateway-controls.md#apigateway-8) 
+  [[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9) 
+  [[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API](appsync-controls.md#appsync-5) 
+  [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 
+  [[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone](autoscaling-controls.md#autoscaling-2) 
+  [[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3) 
+  [[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5) 
+  [[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone](autoscaling-controls.md#autoscaling-6) 
+  [[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2](autoscaling-controls.md#autoscaling-9) 
+  [[Backup.1] titik AWS Backup pemulihan harus dienkripsi saat istirahat](backup-controls.md#backup-1) 
+  [[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1) 
+  [[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3) 
+  [[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi](cloudfront-controls.md#cloudfront-4) 
+  [[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5) 
+  [[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6) 
+  [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7) 
+  [[CloudFront.8] CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS](cloudfront-controls.md#cloudfront-8) 
+  [[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9) 
+  [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10) 
+  [[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12) 
+  [[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis](cloudtrail-controls.md#cloudtrail-1) 
+  [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 
+  [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 
+  [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 
+  [[CloudTrail.10] Penyimpanan data acara CloudTrail danau harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](cloudtrail-controls.md#cloudtrail-10) 
+  [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15) 
+  [[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu](cloudwatch-controls.md#cloudwatch-16) 
+  [[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan](cloudwatch-controls.md#cloudwatch-17) 
+  [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 
+  [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 
+  [[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3) 
+  [[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config](codebuild-controls.md#codebuild-4) 
+  [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 
+  [[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat](datafirehose-controls.md#datafirehose-1) 
+  [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 
+  [[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6) 
+  [[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7) 
+  [[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8) 
+  [[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9) 
+  [[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10) 
+  [[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11) 
+  [[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12) 
+  [[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat](documentdb-controls.md#documentdb-1) 
+  [[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2) 
+  [[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3) 
+  [[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4) 
+  [[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan](documentdb-controls.md#documentdb-5) 
+  [[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan](dynamodb-controls.md#dynamodb-1) 
+  [[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time](dynamodb-controls.md#dynamodb-2) 
+  [[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat](dynamodb-controls.md#dynamodb-3) 
+  [[DynamoDB.4] Tabel DynamoDB harus ada dalam rencana cadangan](dynamodb-controls.md#dynamodb-4) 
+  [[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan](dynamodb-controls.md#dynamodb-6) 
+  [[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7) 
+  [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 
+  [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 
+  [[EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat](ec2-controls.md#ec2-3) 
+  [[EC2.4] Instans EC2 yang dihentikan harus dihapus setelah periode waktu tertentu](ec2-controls.md#ec2-4) 
+  [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 
+  [[EC2.7] Enkripsi default EBS harus diaktifkan](ec2-controls.md#ec2-7) 
+  [[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8) 
+  [[EC2.9] Instans Amazon EC2 seharusnya tidak memiliki alamat publik IPv4](ec2-controls.md#ec2-9) 
+  [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10) 
+  [[EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs](ec2-controls.md#ec2-12) 
+  [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13) 
+  [[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15) 
+  [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16) 
+  [[EC2.17] Instans Amazon EC2 tidak boleh menggunakan banyak ENIs](ec2-controls.md#ec2-17) 
+  [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18) 
+  [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19) 
+  [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20) 
+  [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21) 
+  [[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC](ec2-controls.md#ec2-23) 
+  [[EC2.24] Jenis instans paravirtual Amazon EC2 tidak boleh digunakan](ec2-controls.md#ec2-24) 
+  [[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25) 
+  [[EC2.28] Volume EBS harus dicakup oleh rencana cadangan](ec2-controls.md#ec2-28) 
+  [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51) 
+ [[EC2.55] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API](ec2-controls.md#ec2-55)
+ [[EC2.56] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry](ec2-controls.md#ec2-56)
+ [[EC2.57] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager](ec2-controls.md#ec2-57)
+ [[EC2.58] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager](ec2-controls.md#ec2-58)
+ [[EC2.60] VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager](ec2-controls.md#ec2-60)
+  [[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1) 
+  [[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi](ecr-controls.md#ecr-2) 
+  [[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi](ecr-controls.md#ecr-3) 
+  [[ECR.5] Repositori ECR harus dienkripsi dengan pelanggan yang dikelola AWS KMS keys](ecr-controls.md#ecr-5) 
+  [[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna](ecs-controls.md#ecs-1) 
+  [[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2) 
+  [[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host](ecs-controls.md#ecs-3) 
+  [[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa](ecs-controls.md#ecs-4) 
+  [[ECS.5] Definisi tugas ECS harus mengonfigurasi wadah agar dibatasi pada akses hanya-baca ke sistem file root](ecs-controls.md#ecs-5) 
+  [[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8) 
+  [[ECS.9] Definisi tugas ECS harus memiliki konfigurasi logging](ecs-controls.md#ecs-9) 
+  [[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10) 
+  [[ECS.12] Cluster ECS harus menggunakan Wawasan Kontainer](ecs-controls.md#ecs-12) 
+  [[ECS.17] Definisi tugas ECS tidak boleh menggunakan mode jaringan host](ecs-controls.md#ecs-17) 
+  [[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS](efs-controls.md#efs-1) 
+  [[EFS.2] Volume Amazon EFS harus dalam rencana cadangan](efs-controls.md#efs-2) 
+  [[EFS.3] Titik akses EFS harus menegakkan direktori root](efs-controls.md#efs-3) 
+  [[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4) 
+  [[EFS.6] Target pemasangan EFS tidak boleh dikaitkan dengan subnet yang menetapkan alamat IP publik saat diluncurkan](efs-controls.md#efs-6) 
+  [[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1) 
+  [[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2) 
+  [[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3) 
+  [[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8) 
+  [[ElastiCache.1] Cluster ElastiCache (Redis OSS) harus mengaktifkan pencadangan otomatis](elasticache-controls.md#elasticache-1) 
+  [[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2) 
+  [[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis](elasticache-controls.md#elasticache-3) 
+  [[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat](elasticache-controls.md#elasticache-4) 
+  [[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5) 
+  [[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6) 
+  [[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default](elasticache-controls.md#elasticache-7) 
+  [[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan](elasticbeanstalk-controls.md#elasticbeanstalk-1) 
+  [[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2) 
+  [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1) 
+  [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2) 
+  [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3) 
+  [[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4) 
+  [[ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan](elb-controls.md#elb-5) 
+  [[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan](elb-controls.md#elb-6) 
+  [[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi](elb-controls.md#elb-7) 
+  [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8) 
+  [[ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona](elb-controls.md#elb-9) 
+  [[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone](elb-controls.md#elb-10) 
+  [[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12) 
+  [[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone](elb-controls.md#elb-13) 
+  [[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14) 
+  [[ELB.16] Application Load Balancers harus dikaitkan dengan ACL web AWS WAF](elb-controls.md#elb-16) 
+  [[ELB.17] Aplikasi dan Penyeimbang Beban Jaringan dengan pendengar harus menggunakan kebijakan keamanan yang direkomendasikan](elb-controls.md#elb-17) 
+  [[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1) 
+  [[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2) 
+  [[EMR.3] Konfigurasi keamanan Amazon EMR harus dienkripsi saat istirahat](emr-controls.md#emr-3) 
+  [[EMR.4] Konfigurasi keamanan Amazon EMR harus dienkripsi saat transit](emr-controls.md#emr-4) 
+  [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 
+  [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 
+  [[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3) 
+  [[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan](es-controls.md#es-4) 
+  [[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5) 
+  [[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data](es-controls.md#es-6) 
+  [[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus](es-controls.md#es-7) 
+  [[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8) 
+  [[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3) 
+  [[EventBridge.4] titik akhir EventBridge global harus mengaktifkan replikasi acara](eventbridge-controls.md#eventbridge-4) 
+  [[FSx.1] FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke cadangan dan volume](fsx-controls.md#fsx-1) 
+  [[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan](fsx-controls.md#fsx-2) 
+  [[Glue.4] Pekerjaan AWS Glue percikan harus berjalan pada versi yang didukung AWS Glue](glue-controls.md#glue-4) 
+  [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 
+  [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 
+  [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 
+  [[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3) 
+  [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 
+  [[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5) 
+  [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 
+  [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7) 
+  [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 
+  [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 
+  [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 
+  [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21) 
+  [[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat](kinesis-controls.md#kinesis-1) 
+  [[KMS.1] Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-1) 
+  [[KMS.2] Prinsipal IAM tidak boleh memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS](kms-controls.md#kms-2) 
+  [[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja](kms-controls.md#kms-3) 
+  [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 
+  [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 
+  [[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2) 
+  [[Lambda.3] Fungsi Lambda harus dalam VPC](lambda-controls.md#lambda-3) 
+  [[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone](lambda-controls.md#lambda-5) 
+  [[Lambda.7] Fungsi Lambda harus mengaktifkan penelusuran aktif AWS X-Ray](lambda-controls.md#lambda-7) 
+  [[Macie.1] Amazon Macie harus diaktifkan](macie-controls.md#macie-1) 
+  [[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan](macie-controls.md#macie-2) 
+  [[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1) 
+  [[MSK.2] Kluster MSK seharusnya telah meningkatkan pemantauan yang dikonfigurasi](msk-controls.md#msk-2) 
+  [[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2) 
+  [[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3) 
+  [[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan active/standby](mq-controls.md#mq-5) 
+  [[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster](mq-controls.md#mq-6) 
+  [[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat](neptune-controls.md#neptune-1) 
+  [[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2) 
+  [[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3) 
+  [[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan](neptune-controls.md#neptune-4) 
+  [[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis](neptune-controls.md#neptune-5) 
+  [[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat](neptune-controls.md#neptune-6) 
+  [[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM](neptune-controls.md#neptune-7) 
+  [[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot](neptune-controls.md#neptune-8) 
+  [[Neptunus.9] Cluster DB Neptunus harus digunakan di beberapa Availability Zone](neptune-controls.md#neptune-9) 
+  [[NetworkFirewall.1] Firewall Firewall Jaringan harus digunakan di beberapa Availability Zone](networkfirewall-controls.md#networkfirewall-1) 
+  [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2) 
+  [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3) 
+  [[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket penuh](networkfirewall-controls.md#networkfirewall-4) 
+  [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5) 
+  [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6) 
+  [[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan](networkfirewall-controls.md#networkfirewall-9) 
+  [[NetworkFirewall.10] Firewall Firewall Jaringan harus mengaktifkan perlindungan perubahan subnet](networkfirewall-controls.md#networkfirewall-10) 
+  [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 
+  [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 
+  [[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node](opensearch-controls.md#opensearch-3) 
+  [[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch](opensearch-controls.md#opensearch-4) 
+  [[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5) 
+  [[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data](opensearch-controls.md#opensearch-6) 
+  [[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus](opensearch-controls.md#opensearch-7) 
+  [[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](opensearch-controls.md#opensearch-8) 
+  [[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10) 
+  [[Opensearch.11] OpenSearch domain harus memiliki setidaknya tiga node primer khusus](opensearch-controls.md#opensearch-11) 
+  [[PCA.1] otoritas sertifikat AWS Private CA root harus dinonaktifkan](pca-controls.md#pca-1) 
+  [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 
+  [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2) 
+  [[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat](rds-controls.md#rds-3) 
+  [[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat](rds-controls.md#rds-4) 
+  [[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone](rds-controls.md#rds-5) 
+  [[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB](rds-controls.md#rds-6) 
+  [[RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-7) 
+  [[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan](rds-controls.md#rds-8) 
+  [[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9)
+  [[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS](rds-controls.md#rds-10) 
+  [[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis](rds-controls.md#rds-11) 
+  [[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS](rds-controls.md#rds-12) 
+  [[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13) 
+  [[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking](rds-controls.md#rds-14) 
+  [[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone](rds-controls.md#rds-15) 
+  [[RDS.16] Cluster Aurora DB harus dikonfigurasi untuk menyalin tag ke snapshot DB](rds-controls.md#rds-16) 
+  [[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot](rds-controls.md#rds-17) 
+  [[RDS.19] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting](rds-controls.md#rds-19) 
+  [[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20) 
+  [[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21) 
+  [[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22) 
+  [[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database](rds-controls.md#rds-23) 
+  [[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24) 
+  [[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25) 
+  [[RDS.26] Instans RDS DB harus dilindungi oleh rencana cadangan](rds-controls.md#rds-26) 
+  [[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat](rds-controls.md#rds-27) 
+  [[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34) 
+  [[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35) 
+  [[RDS.40] RDS untuk instance SQL Server DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-40) 
+  [[RDS.42] RDS untuk instance MariaDB DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-42) 
+  [[RDS.45] Cluster Aurora MySQL DB harus mengaktifkan pencatatan audit](rds-controls.md#rds-45) 
+  [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 
+  [[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2) 
+  [[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis](redshift-controls.md#redshift-3) 
+  [[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4) 
+  [[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama](redshift-controls.md#redshift-6) 
+  [[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan](redshift-controls.md#redshift-7) 
+  [[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default](redshift-controls.md#redshift-8) 
+  [[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat](redshift-controls.md#redshift-10) 
+  [[RedshiftServerless.4] Ruang nama Redshift Tanpa Server harus dienkripsi dengan pengelolaan pelanggan AWS KMS keys](redshiftserverless-controls.md#redshiftserverless-4)
+  [[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2) 
+  [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 
+  [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2) 
+  [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3) 
+  [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 
+  [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6) 
+  [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 
+  [[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8) 
+  [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9) 
+  [[S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-10) 
+  [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11) 
+  [[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3](s3-controls.md#s3-12) 
+  [[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup](s3-controls.md#s3-13) 
+  [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14) 
+  [[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock](s3-controls.md#s3-15) 
+  [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17) 
+  [[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19) 
+  [[S3.20] Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA](s3-controls.md#s3-20) 
+  [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 
+  [[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus](sagemaker-controls.md#sagemaker-2) 
+  [[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook](sagemaker-controls.md#sagemaker-3) 
+  [[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1](sagemaker-controls.md#sagemaker-4) 
+  [[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1) 
+  [[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2) 
+  [[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan](secretsmanager-controls.md#secretsmanager-3) 
+  [[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4) 
+  [[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS](servicecatalog-controls.md#servicecatalog-1) 
+  [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1) 
+  [[SQS.1] Antrian Amazon SQS harus dienkripsi saat istirahat](sqs-controls.md#sqs-1) 
+  [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 
+  [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 
+  [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 
+  [[SSM.4] Dokumen SSM seharusnya tidak bersifat publik](ssm-controls.md#ssm-4) 
+  [[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2) 
+  [[Transfer.3] Konektor Transfer Family seharusnya mengaktifkan logging](transfer-controls.md#transfer-3) 
+  [[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1) 
+  [[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-2) 
+  [[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-3) 
+  [[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-4) 
+  [[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat](waf-controls.md#waf-6) 
+  [[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan](waf-controls.md#waf-7) 
+  [[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-8) 
+  [[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan](waf-controls.md#waf-10) 
+  [[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11) 
+  [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12) 

# NIST SP 800-171 Revisi 2 di Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

NIST Special Publication 800-171 Revision 2 (NIST SP 800-171 Rev. 2) adalah kerangka kerja keamanan siber dan kepatuhan yang dikembangkan oleh National Institute of Standards and Technology (NIST), sebuah lembaga yang merupakan bagian dari Departemen Perdagangan AS. Kerangka kepatuhan ini memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan Informasi Tidak Diklasifikasikan Terkendali dalam sistem dan organisasi yang bukan bagian dari pemerintah federal AS. *Controlled Unclassified Information*, juga disebut *CUI*, adalah informasi sensitif yang tidak memenuhi kriteria pemerintah untuk klasifikasi tetapi harus dilindungi. Ini adalah informasi yang dianggap sensitif dan dibuat atau dimiliki oleh pemerintah federal AS atau entitas lain atas nama pemerintah federal AS.

NIST SP 800-171 Rev. 2 memberikan persyaratan keamanan yang direkomendasikan untuk melindungi kerahasiaan CUI ketika:
+ Informasi berada dalam sistem dan organisasi non-federal,
+ Organisasi non-federal tidak mengumpulkan atau memelihara informasi atas nama agen federal atau menggunakan atau mengoperasikan sistem atas nama agen, dan 
+ Tidak ada persyaratan pengamanan khusus untuk melindungi kerahasiaan CUI yang ditentukan oleh undang-undang otorisasi, peraturan, atau kebijakan pemerintah untuk kategori CUI yang tercantum dalam Registri CUI. 

Persyaratan berlaku untuk semua komponen sistem dan organisasi non-federal yang memproses, menyimpan, atau mengirimkan CUI, atau memberikan perlindungan keamanan untuk komponen. Untuk informasi lebih lanjut, lihat [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) di Pusat Sumber Daya Keamanan Komputer *NIST*.

AWS Security Hub CSPM menyediakan kontrol keamanan yang mendukung subset persyaratan NIST SP 800-171 Revisi 2. Kontrol melakukan pemeriksaan keamanan otomatis untuk sumber daya tertentu Layanan AWS dan. Untuk mengaktifkan dan mengelola kontrol ini, Anda dapat mengaktifkan kerangka kerja NIST SP 800-171 Revisi 2 sebagai standar di Security Hub CSPM. Perhatikan bahwa kontrol tidak mendukung persyaratan NIST SP 800-171 Revisi 2 yang memerlukan pemeriksaan manual.

**Topics**
+ [Mengkonfigurasi perekaman sumber daya untuk standar](#standards-reference-nist-800-171-recording)
+ [Menentukan kontrol mana yang berlaku untuk standar](#standards-reference-nist-800-171-controls)

## Mengkonfigurasi perekaman sumber daya untuk kontrol yang berlaku untuk standar
<a name="standards-reference-nist-800-171-recording"></a>

Untuk mengoptimalkan cakupan dan keakuratan temuan, penting untuk mengaktifkan dan mengonfigurasi perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar NIST SP 800-171 Revisi 2 di CSPM Security Hub. AWS Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis AWS sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar.

Untuk informasi tentang cara Security Hub CSPM menggunakan rekaman sumber daya AWS Config, lihat. [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md) Untuk informasi tentang mengonfigurasi perekaman sumber daya AWS Config, lihat [Bekerja dengan perekam konfigurasi](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) di *Panduan AWS Config Pengembang*.

Tabel berikut menentukan jenis sumber daya untuk merekam kontrol yang berlaku untuk standar NIST SP 800-171 Revisi 2 di Security Hub CSPM.


| Layanan AWS | Jenis sumber daya | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Awan Komputasi Elastis Amazon (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Layanan Penyimpanan Sederhana Amazon (Amazon S3) | `AWS::S3::Bucket` | 
| Layanan Pemberitahuan Sederhana Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Menentukan kontrol mana yang berlaku untuk standar
<a name="standards-reference-nist-800-171-controls"></a>

Daftar berikut menentukan kontrol yang mendukung persyaratan NIST SP 800-171 Revisi 2 dan berlaku untuk standar NIST SP 800-171 Revisi 2 di Security Hub CSPM. AWS Untuk detail tentang persyaratan spesifik yang didukung kontrol, pilih kontrol. Kemudian lihat bidang **Persyaratan terkait** di detail untuk kontrol. Bidang ini menentukan setiap persyaratan NIST yang didukung kontrol. Jika bidang tidak menentukan persyaratan NIST tertentu, kontrol tidak mendukung persyaratan.
+ [[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)
+ [[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront distribusi harus menggunakan sertifikat khusus SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16)
+ [[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi](ec2-controls.md#ec2-18)
+ [[EC2.19] Grup keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi](ec2-controls.md#ec2-19)
+ [[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus aktif](ec2-controls.md#ec2-20)
+ [[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51)
+ [[ELB.2] Classic Load Balancer dengan SSL/HTTPS pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3)
+ [[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1)
+ [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2)
+ [[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)
+ [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)
+ [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10)
+ [[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)
+ [[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)
+ [[IAM.13] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu simbol](iam-controls.md#iam-13)
+ [[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)
+ [[IAM.15] Pastikan kebijakan kata sandi IAM membutuhkan panjang kata sandi minimum 14 atau lebih](iam-controls.md#iam-15)
+ [[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)
+ [[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)
+ [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)
+ [[IAM.21] Kebijakan terkelola pelanggan IAM yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan](iam-controls.md#iam-21)
+ [[IAM.22] Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)
+ [[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS](s3-controls.md#s3-6)
+ [[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)
+ [[S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara](s3-controls.md#s3-11)
+ [[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi](s3-controls.md#s3-14)
+ [[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2)
+ [AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch](waf-controls.md#waf-12)

# PCI DSS di Security Hub CSPM
<a name="pci-standard"></a>

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah kerangka kepatuhan pihak ketiga yang menyediakan seperangkat aturan dan pedoman untuk menangani informasi kartu kredit dan debit dengan aman. Dewan Standar Keamanan PCI (SSC) membuat dan memperbarui kerangka kerja ini.

AWS Security Hub CSPM menyediakan standar PCI DSS yang dapat membantu Anda tetap mematuhi kerangka kerja pihak ketiga ini. Anda dapat menggunakan standar ini untuk menemukan kerentanan keamanan dalam AWS sumber daya yang menangani data pemegang kartu. Sebaiknya aktifkan standar ini Akun AWS yang memiliki sumber daya yang menyimpan, memproses, atau mengirimkan data pemegang kartu atau data otentikasi sensitif. Penilaian oleh PCI SSC memvalidasi standar ini.

Security Hub CSPM menawarkan dukungan untuk PCI DSS v3.2.1 dan PCI DSS v4.0.1. Sebaiknya gunakan v4.0.1 agar tetap mengikuti praktik terbaik keamanan. Anda dapat mengaktifkan kedua versi standar secara bersamaan. Untuk informasi tentang mengaktifkan standar, lihat[Mengaktifkan standar keamanan](enable-standards.md). Jika saat ini Anda menggunakan v3.2.1 tetapi hanya ingin menggunakan v4.0.1, aktifkan versi yang lebih baru sebelum menonaktifkan versi yang lebih lama. Ini mencegah celah dalam pemeriksaan keamanan Anda. Jika Anda menggunakan integrasi CSPM Security Hub dengan AWS Organizations dan ingin mengaktifkan v4.0.1 secara batch di beberapa akun, sebaiknya gunakan [konfigurasi pusat](central-configuration-intro.md) untuk melakukannya.

Bagian berikut menentukan kontrol mana yang berlaku untuk PCI DSS v3.2.1 dan PCI DSS v4.0.1.

## Kontrol yang berlaku untuk PCI DSS v3.2.1
<a name="pci-controls"></a>

Daftar berikut menentukan kontrol CSPM Security Hub mana yang berlaku untuk PCI DSS v3.2.1. Untuk meninjau detail kontrol, pilih kontrol.

 [[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB](autoscaling-controls.md#autoscaling-1) 

 [[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2) 

 [[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3) 

 [[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4) 

 [[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch](cloudtrail-controls.md#cloudtrail-5) 

 [[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”](cloudwatch-controls.md#cloudwatch-1) 

 [[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1) 

 [[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2) 

 [[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya](config-controls.md#config-1) 

 [[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1) 

 [[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik](ec2-controls.md#ec2-1) 

 [[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar](ec2-controls.md#ec2-2) 

 [[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs](ec2-controls.md#ec2-6) 

 [[EC2.12] Amazon EC2 yang tidak digunakan harus dihapus EIPs](ec2-controls.md#ec2-12) 

 [[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13) 

 [[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS](elb-controls.md#elb-1) 

 [[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat](es-controls.md#es-1) 

 [[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2) 

 [[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1) 

 [[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “\$1” penuh](iam-controls.md#iam-1) 

 [[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan](iam-controls.md#iam-2) 

 [[IAM.4] Kunci akses pengguna root IAM seharusnya tidak ada](iam-controls.md#iam-4) 

 [[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6) 

 [[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8) 

 [[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9) 

 [[IAM.10] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-10) 

 [[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19) 

 [[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4) 

 [[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1) 

 [[Lambda.3] Fungsi Lambda harus dalam VPC](lambda-controls.md#lambda-3) 

 [[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat](opensearch-controls.md#opensearch-1) 

 [[Opensearch.2] OpenSearch domain tidak boleh diakses publik](opensearch-controls.md#opensearch-2) 

 [[RDS.1] Snapshot RDS harus pribadi](rds-controls.md#rds-1) 

 [[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2) 

 [[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1) 

 [[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1) 

 [[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik](s3-controls.md#s3-2) 

 [[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik](s3-controls.md#s3-3) 

 [[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5) 

 [[S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah](s3-controls.md#s3-7) 

 [[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1) 

 [[SSM.1] Instans Amazon EC2 harus dikelola oleh AWS Systems Manager](ssm-controls.md#ssm-1) 

 [[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2) 

 [[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3) 

## Kontrol yang berlaku untuk PCI DSS v4.0.1
<a name="pci4-controls"></a>

Daftar berikut menentukan kontrol CSPM Security Hub mana yang berlaku untuk PCI DSS v4.0.1. Untuk meninjau detail kontrol, pilih kontrol.

[[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu](acm-controls.md#acm-1)

[[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit](acm-controls.md#acm-2)

[[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2](apigateway-controls.md#apigateway-9)

[[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan](appsync-controls.md#appsync-2)

[[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2](autoscaling-controls.md#autoscaling-3)

[[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik](autoscaling-controls.md#autoscaling-5)

[[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi](cloudfront-controls.md#cloudfront-1)

[[CloudFront.10] CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal khusus](cloudfront-controls.md#cloudfront-10)

[[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada](cloudfront-controls.md#cloudfront-12)

[[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan](cloudfront-controls.md#cloudfront-3)

[[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging](cloudfront-controls.md#cloudfront-5)

[[CloudFront.6] CloudFront distribusi harus mengaktifkan WAF](cloudfront-controls.md#cloudfront-6)

[[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus](cloudfront-controls.md#cloudfront-9)

[[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat](cloudtrail-controls.md#cloudtrail-2)

[[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan](cloudtrail-controls.md#cloudtrail-3)

[[CloudTrail.4] validasi file CloudTrail log harus diaktifkan](cloudtrail-controls.md#cloudtrail-4)

[[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik](cloudtrail-controls.md#cloudtrail-6)

[[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)

[[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif](codebuild-controls.md#codebuild-1)

[[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas](codebuild-controls.md#codebuild-2)

[[CodeBuild.3] Log CodeBuild S3 harus dienkripsi](codebuild-controls.md#codebuild-3)

[[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik](dms-controls.md#dms-1)

[[DMS.10] Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM](dms-controls.md#dms-10)

[[DMS.11] Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi](dms-controls.md#dms-11)

[[DMS.12] Titik akhir DMS untuk Redis OSS seharusnya mengaktifkan TLS](dms-controls.md#dms-12)

[[DMS.6] Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis](dms-controls.md#dms-6)

[[DMS.7] Tugas replikasi DMS untuk database target seharusnya mengaktifkan logging](dms-controls.md#dms-7)

[[DMS.8] Tugas replikasi DMS untuk database sumber seharusnya mengaktifkan logging](dms-controls.md#dms-8)

[[DMS.9] Titik akhir DMS harus menggunakan SSL](dms-controls.md#dms-9)

[[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai](documentdb-controls.md#documentdb-2)

[[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik](documentdb-controls.md#documentdb-3)

[[DocumentDB.4] Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch](documentdb-controls.md#documentdb-4)

[[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit](dynamodb-controls.md#dynamodb-7)

[[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22](ec2-controls.md#ec2-13)

[[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389](ec2-controls.md#ec2-14)

[[EC2.15] Subnet Amazon EC2 seharusnya tidak secara otomatis menetapkan alamat IP publik](ec2-controls.md#ec2-15)

[[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus](ec2-controls.md#ec2-16)

[[EC2.170] Template peluncuran EC2 harus menggunakan Layanan Metadata Instans Versi 2 () IMDSv2](ec2-controls.md#ec2-170)

[[EC2.171] Koneksi VPN EC2 seharusnya mengaktifkan logging](ec2-controls.md#ec2-171)

[[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389](ec2-controls.md#ec2-21)

[[EC2.25] Templat peluncuran Amazon EC2 tidak boleh menetapkan IPs publik ke antarmuka jaringan](ec2-controls.md#ec2-25)

[[EC2.51] Titik akhir EC2 Client VPN harus mengaktifkan pencatatan koneksi klien](ec2-controls.md#ec2-51)

[[EC2.53] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-53)

[[EC2.54] Grup keamanan EC2 tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh](ec2-controls.md#ec2-54)

[[EC2.8] Instans EC2 harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2](ec2-controls.md#ec2-8)

[[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi](ecr-controls.md#ecr-1)

[[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru](ecs-controls.md#ecs-10)

[[ECS.16] Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik](ecs-controls.md#ecs-16)

[[ECS.2] Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis](ecs-controls.md#ecs-2)

[[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer](ecs-controls.md#ecs-8)

[[EFS.4] Titik akses EFS harus menegakkan identitas pengguna](efs-controls.md#efs-4)

[[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik](eks-controls.md#eks-1)

[[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung](eks-controls.md#eks-2)

[[EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi](eks-controls.md#eks-3)

[[EKS.8] Kluster EKS harus mengaktifkan pencatatan audit](eks-controls.md#eks-8)

[[ElastiCache.2] ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis](elasticache-controls.md#elasticache-2)

[[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit](elasticache-controls.md#elasticache-5)

[[ElastiCache.6] ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH](elasticache-controls.md#elasticache-6)

[[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan](elasticbeanstalk-controls.md#elasticbeanstalk-2)

[[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch](elasticbeanstalk-controls.md#elasticbeanstalk-3)

[[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-12)

[[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat](elb-controls.md#elb-14)

[[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS](elb-controls.md#elb-3)

[[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid](elb-controls.md#elb-4)

[[ELB.8] Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config](elb-controls.md#elb-8)

[[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik](emr-controls.md#emr-1)

[[EMR.2] Pengaturan akses publik blok EMR Amazon harus diaktifkan](emr-controls.md#emr-2)

[[ES.2] Domain Elasticsearch tidak boleh diakses publik](es-controls.md#es-2)

[[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node](es-controls.md#es-3)

[[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit](es-controls.md#es-5)

[[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru](es-controls.md#es-8)

[[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir](eventbridge-controls.md#eventbridge-3)

[[GuardDuty.1] GuardDuty harus diaktifkan](guardduty-controls.md#guardduty-1)

[[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan](guardduty-controls.md#guardduty-10)

[[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan](guardduty-controls.md#guardduty-6)

[[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan](guardduty-controls.md#guardduty-7)

[[GuardDuty.9] Perlindungan GuardDuty RDS harus diaktifkan](guardduty-controls.md#guardduty-9)

[[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang](iam-controls.md#iam-3)

[[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol](iam-controls.md#iam-5)

[[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root](iam-controls.md#iam-6)

[[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat](iam-controls.md#iam-7)

[[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus](iam-controls.md#iam-8)

[[IAM.9] MFA harus diaktifkan untuk pengguna root](iam-controls.md#iam-9)

[[IAM.11] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf besar](iam-controls.md#iam-11)

[[IAM.12] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu huruf kecil](iam-controls.md#iam-12)

[[IAM.14] Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor](iam-controls.md#iam-14)

[[IAM.16] Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi](iam-controls.md#iam-16)

[[IAM.17] Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang](iam-controls.md#iam-17)

[[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Dukungan](iam-controls.md#iam-18)

[[IAM.19] MFA harus diaktifkan untuk semua pengguna IAM](iam-controls.md#iam-19)

[[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2](inspector-controls.md#inspector-1)

[[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan](inspector-controls.md#inspector-2)

[[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-3)

[[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan](inspector-controls.md#inspector-4)

[[KMS.4] rotasi AWS KMS tombol harus diaktifkan](kms-controls.md#kms-4)

[[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik](lambda-controls.md#lambda-1)

[[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung](lambda-controls.md#lambda-2)

[[MQ.2] Broker ActiveMQ harus mengalirkan log audit ke CloudWatch](mq-controls.md#mq-2)

[[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis](mq-controls.md#mq-3)

[[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker](msk-controls.md#msk-1)

[[MSK.3] Konektor MSK Connect harus dienkripsi saat transit](msk-controls.md#msk-3)

[[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch](neptune-controls.md#neptune-2)

[[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik](neptune-controls.md#neptune-3)

[[Opensearch.10] OpenSearch domain harus menginstal pembaruan perangkat lunak terbaru](opensearch-controls.md#opensearch-10)

[[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit](opensearch-controls.md#opensearch-5)

[[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan](rds-controls.md#rds-13)

[[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible](rds-controls.md#rds-2)

[[RDS.20] Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting](rds-controls.md#rds-20)

[[RDS.21] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting](rds-controls.md#rds-21)

[[RDS.22] Langganan pemberitahuan acara RDS harus dikonfigurasi untuk acara grup keamanan basis data penting](rds-controls.md#rds-22)

[[RDS.24] Kluster Database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-24)

[[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus](rds-controls.md#rds-25)

[[RDS.34] Cluster Aurora MySQL DB harus menerbitkan log audit ke Log CloudWatch](rds-controls.md#rds-34)

[[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis](rds-controls.md#rds-35)

[[RDS.36] RDS untuk instance PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-36)

[[RDS.37] Cluster Aurora PostgreSQL DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-37)

[[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch](rds-controls.md#rds-9)

[[Redshift.1] Cluster Amazon Redshift harus melarang akses publik](redshift-controls.md#redshift-1)

[[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi](redshift-controls.md#redshift-15)

[[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit](redshift-controls.md#redshift-2)

[[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit](redshift-controls.md#redshift-4)

[[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS](route53-controls.md#route53-2)

[[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-1)

[[S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock](s3-controls.md#s3-15)

[[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys](s3-controls.md#s3-17)

[[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-19)

[[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek](s3-controls.md#s3-22)

[[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek](s3-controls.md#s3-23)

[[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok](s3-controls.md#s3-24)

[[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL](s3-controls.md#s3-5)

[[S3.8] Bucket tujuan umum S3 harus memblokir akses publik](s3-controls.md#s3-8)

[[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server](s3-controls.md#s3-9)

[[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung](sagemaker-controls.md#sagemaker-1)

[[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis](secretsmanager-controls.md#secretsmanager-1)

[[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar](secretsmanager-controls.md#secretsmanager-2)

[[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu](secretsmanager-controls.md#secretsmanager-4)

[[SSM.2] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch](ssm-controls.md#ssm-2)

[[SSM.3] Instans Amazon EC2 yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT](ssm-controls.md#ssm-3)

[[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging](stepfunctions-controls.md#stepfunctions-1)

[[Transfer.2] Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi titik akhir](transfer-controls.md#transfer-2)

[[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan](waf-controls.md#waf-1)

[[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan](waf-controls.md#waf-11)

# Standar yang dikelola layanan di Security Hub CSPM
<a name="service-managed-standards"></a>

Standar yang dikelola layanan adalah standar keamanan yang Layanan AWS dikelola orang lain tetapi dapat Anda lihat di Security Hub CSPM. Misalnya, [Service-Managed Standard: AWS Control Tower](service-managed-standard-aws-control-tower.md) adalah standar yang dikelola layanan yang mengelola. AWS Control Tower Standar yang dikelola layanan berbeda dari standar keamanan yang dikelola CSPM AWS Security Hub dengan cara berikut:
+ **Pembuatan dan penghapusan standar** — Anda membuat dan menghapus standar yang dikelola layanan dengan konsol atau API layanan pengelola, atau dengan. AWS CLI Sampai Anda membuat standar dalam layanan pengelolaan dengan salah satu cara tersebut, standar tidak muncul di konsol CSPM Security Hub dan tidak dapat diakses oleh Security Hub CSPM API atau. AWS CLI
+ **Tidak ada pengaktifan kontrol otomatis** — Saat Anda membuat standar yang dikelola layanan, CSPM Security Hub dan layanan pengelola tidak secara otomatis mengaktifkan kontrol yang berlaku pada standar. Selain itu, ketika Security Hub CSPM merilis kontrol baru untuk standar, kontrol tersebut tidak diaktifkan secara otomatis. Ini adalah penyimpangan dari standar yang dikelola Security Hub CSPM. Untuk informasi selengkapnya tentang cara biasa mengonfigurasi kontrol di Security Hub CSPM, lihat. [Memahami kontrol keamanan di Security Hub CSPM](controls-view-manage.md)
+ **Mengaktifkan dan menonaktifkan kontrol** — Kami menyarankan untuk mengaktifkan dan menonaktifkan kontrol dalam layanan pengelolaan untuk menghindari penyimpangan.
+ **Ketersediaan kontrol** — Layanan pengelola memilih kontrol mana yang tersedia sebagai bagian dari standar yang dikelola layanan. Kontrol yang tersedia dapat mencakup semua, atau sebagian dari, kontrol CSPM Security Hub yang ada.

Setelah mengelola layanan membuat standar yang dikelola layanan dan menyediakan kontrol untuk itu, Anda dapat mengakses temuan kontrol, status kontrol, dan skor keamanan standar di konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI Beberapa atau semua informasi ini mungkin juga tersedia di layanan pengelolaan.

Pilih standar yang dikelola layanan dari daftar berikut untuk melihat detail selengkapnya.

**Topics**
+ [Standar yang Dikelola Layanan: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Standar yang Dikelola Layanan: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Bagian ini memberikan informasi tentang Standar yang Dikelola Layanan:. AWS Control Tower

## Apa itu Standar yang Dikelola Layanan:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower adalah standar yang dikelola layanan yang AWS Control Tower mengelola yang mendukung subset kontrol Security Hub. Standar ini dirancang untuk pengguna AWS Security Hub CSPM dan. AWS Control Tower Ini memungkinkan Anda mengonfigurasi kontrol detektif Security Hub CSPM dari layanan. AWS Control Tower 

Kontrol Detektif mendeteksi ketidakpatuhan sumber daya (misalnya, kesalahan konfigurasi) di dalam Anda. Akun AWS

**Tip**  
Standar yang dikelola layanan berbeda dari standar yang dikelola AWS Security Hub CSPM. Misalnya, Anda harus membuat dan menghapus standar yang dikelola layanan di layanan pengelolaan. Untuk informasi selengkapnya, lihat [Standar yang dikelola layanan di Security Hub CSPM](service-managed-standards.md).

Saat Anda mengaktifkan kontrol CSPM Security Hub AWS Control Tower, Control Tower juga mengaktifkan CSPM Security Hub untuk Anda di akun dan Wilayah tertentu tersebut, jika belum diaktifkan. Di konsol CSPM Security Hub dan API, Anda dapat melihat Standar yang Dikelola Layanan: AWS Control Tower bersama standar CSPM Security Hub lainnya, setelah standar diaktifkan. AWS Control Tower

Untuk informasi selengkapnya tentang standar ini, lihat [Kontrol CSPM Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) di *AWS Control Tower Panduan Pengguna*.

## Menciptakan standar
<a name="aws-control-tower-standard-creation"></a>

Standar ini tersedia di Security Hub CSPM hanya jika Anda mengaktifkan kontrol CSPM Security Hub. AWS Control Tower AWS Control Tower membuat standar saat Anda pertama kali mengaktifkan kontrol yang berlaku dengan menggunakan salah satu metode berikut:
+ AWS Control Tower konsol
+ AWS Control Tower API (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)perintah)

Saat Anda mengaktifkan kontrol CSPM Security Hub AWS Control Tower, jika Anda belum mengaktifkan Security Hub CSPM, juga mengaktifkan CSPM AWS Control Tower Security Hub untuk Anda di akun dan Wilayah tertentu tersebut.

Untuk mengidentifikasi kontrol CSPM Security Hub dengan ID kontrol di Katalog Kontrol, Anda dapat menggunakan bidang `Implementation.Identifier` di. AWS Control Tower Bidang ini memetakan ke ID kontrol CSPM Security Hub dan dapat digunakan untuk memfilter ID kontrol tertentu. Untuk mengambil metadata kontrol untuk kontrol CSPM Security Hub tertentu (misalnya, "CodeBuild.1") di AWS Control Tower, Anda dapat menggunakan API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Anda tidak dapat melihat atau mengakses standar ini di konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI tanpa terlebih dahulu menyiapkan dan AWS Control Tower mengaktifkan kontrol CSPM Security Hub AWS Control Tower dari menggunakan salah satu metode sebelumnya.

Standar ini hanya tersedia di [Wilayah AWS tempat AWS Control Tower yang tersedia](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).

## Mengaktifkan dan menonaktifkan kontrol dalam standar
<a name="aws-control-tower-standard-managing-controls"></a>

Setelah mengaktifkan kontrol CSPM Security Hub AWS Control Tower dan Standar yang Dikelola Layanan: AWS Control Tower standar telah dibuat, Anda dapat melihat standar dan kontrol yang tersedia di CSPM Security Hub.

Ketika Security Hub CSPM menambahkan kontrol baru ke standar Service-Managed AWS Control Tower Standard:, kontrol tersebut tidak diaktifkan secara otomatis untuk pelanggan yang memiliki standar yang diaktifkan. Anda harus mengaktifkan dan menonaktifkan kontrol untuk standar dari AWS Control Tower dengan menggunakan salah satu metode berikut:
+ AWS Control Tower konsol
+ AWS Control Tower API (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)dan [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)dan [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)perintah)

Saat Anda mengubah status pengaktifan kontrol AWS Control Tower, perubahan tersebut juga tercermin dalam Security Hub CSPM.

Namun, menonaktifkan kontrol di Security Hub CSPM yang diaktifkan AWS Control Tower menghasilkan penyimpangan kontrol. Status kontrol di AWS Control Tower menunjukkan sebagai`Drifted`. Anda dapat mengatasi penyimpangan ini dengan menggunakan [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API untuk mengatur ulang kontrol yang ada di drift, atau dengan memilih [Registrasi ulang OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) di AWS Control Tower konsol, atau dengan menonaktifkan dan mengaktifkan kembali kontrol dalam AWS Control Tower menggunakan salah satu metode sebelumnya.

Menyelesaikan tindakan pemberdayaan dan penonaktifan AWS Control Tower membantu Anda menghindari penyimpangan kontrol.

Saat Anda mengaktifkan atau menonaktifkan kontrol AWS Control Tower, tindakan akan berlaku di seluruh akun dan Wilayah yang diatur oleh AWS Control Tower. Jika Anda mengaktifkan dan menonaktifkan kontrol di Security Hub CSPM (tidak disarankan untuk standar ini), tindakan hanya berlaku untuk akun dan wilayah saat ini.

**catatan**  
[Konfigurasi pusat](central-configuration-intro.md) tidak dapat digunakan untuk mengelola Standar yang Dikelola Layanan:. AWS Control Tower Anda *hanya* dapat menggunakan AWS Control Tower layanan untuk mengaktifkan dan menonaktifkan kontrol dalam standar ini.

## Melihat status pemberdayaan dan status kontrol
<a name="aws-control-tower-standard-control-status"></a>

Anda dapat melihat status pemberdayaan kontrol dengan menggunakan salah satu metode berikut:
+ Konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI
+ AWS Control Tower konsol
+ AWS Control Tower API untuk melihat daftar kontrol yang diaktifkan (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI untuk melihat daftar kontrol yang diaktifkan (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)perintah)

Kontrol yang Anda nonaktifkan AWS Control Tower memiliki status pengaktifan `Disabled` di Security Hub CSPM kecuali Anda secara eksplisit mengaktifkan kontrol tersebut di Security Hub CSPM.

Security Hub CSPM menghitung status kontrol berdasarkan status alur kerja dan status kepatuhan temuan kontrol. Untuk informasi selengkapnya tentang status pemberdayaan dan status kontrol, lihat[Meninjau rincian kontrol di Security Hub CSPM](securityhub-standards-control-details.md).

Berdasarkan status kontrol, Security Hub CSPM menghitung [skor keamanan](standards-security-score.md) untuk Service-Managed Standard:. AWS Control Tower Skor ini hanya tersedia di Security Hub CSPM. Selain itu, Anda hanya dapat melihat [temuan kontrol](controls-findings-create-update.md) di Security Hub CSPM. Skor keamanan standar dan temuan kontrol tidak tersedia di AWS Control Tower.

**catatan**  
Saat Anda mengaktifkan kontrol untuk Standar yang Dikelola Layanan: AWS Control Tower, CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan terkait layanan yang ada. AWS Config Anda mungkin memiliki aturan terkait layanan yang ada jika Anda telah mengaktifkan standar dan kontrol lain di CSPM Security Hub. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

## Menghapus standar
<a name="aws-control-tower-standard-deletion"></a>

Anda dapat menghapus standar terkelola layanan ini AWS Control Tower dengan menonaktifkan semua kontrol yang berlaku menggunakan salah satu metode berikut:
+ AWS Control Tower konsol
+ AWS Control Tower API (panggil [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)perintah)

Menonaktifkan semua kontrol akan menghapus standar di semua akun terkelola dan Wilayah yang diatur di. AWS Control Tower Menghapus standar di AWS Control Tower menghapusnya dari halaman **Standar** konsol CSPM Security Hub, dan Anda tidak dapat lagi mengaksesnya dengan menggunakan Security Hub CSPM API atau. AWS CLI

**catatan**  
 Menonaktifkan semua kontrol dari standar di Security Hub CSPM tidak menonaktifkan atau menghapus standar. 

Menonaktifkan layanan CSPM Security Hub akan menghapus Standar yang Dikelola Layanan: AWS Control Tower dan standar lain yang telah Anda aktifkan.

## Menemukan format bidang untuk Standar yang Dikelola Layanan: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Ketika Anda membuat Service-Managed Standard: AWS Control Tower dan mengaktifkan kontrol untuk itu, Anda akan mulai menerima temuan kontrol di Security Hub CSPM. Security Hub CSPM melaporkan temuan kontrol di. [AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md) Ini adalah nilai ASFF untuk Amazon Resource Name (ARN) standar ini dan: `GeneratorId`
+ **ARN standar** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Untuk contoh temuan Standar yang Dikelola Layanan: AWS Control Tower, lihat. [Sampel temuan kontrol](sample-control-findings.md)

## Kontrol yang berlaku untuk Standar yang Dikelola Layanan: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower mendukung subset kontrol yang merupakan bagian dari standar AWS Foundational Security Best Practices (FSBP). Pilih kontrol untuk melihat informasi tentangnya, termasuk langkah-langkah remediasi untuk temuan yang gagal.

Untuk melihat kontrol CSPM Security Hub yang didukung AWS Control Tower, Anda dapat menggunakan salah satu metode berikut:
+ AWS Konsol Control Catalog tempat Anda dapat memfilter `“Control owner = AWS Security Hub”`
+ AWS Control Catalog API (panggil [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) dengan filter `Implementations` untuk `Types` memeriksanya `AWS::SecurityHub::SecurityControl`
+ AWS CLI (jalankan [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)perintah) dengan filter untuk`Implementations`. Contoh perintah CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Batas regional pada kontrol CSPM Security Hub saat diaktifkan melalui standar Control Tower mungkin tidak sesuai dengan batas Regional pada kontrol yang mendasarinya.

Di Security Hub CSPM, jika [temuan kontrol konsolidasi](controls-findings-create-update.md#consolidated-control-findings) dimatikan di akun Anda, `ProductFields.ControlId` bidang dalam temuan yang dihasilkan menggunakan ID kontrol berbasis standar. **ID kontrol berbasis standar diformat sebagai CT. *ControlId***(misalnya, **CT. CodeBuild.1**).

Untuk informasi selengkapnya tentang standar ini, lihat [Kontrol CSPM Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) di *AWS Control Tower Panduan Pengguna*.

# Mengaktifkan standar keamanan
<a name="enable-standards"></a>

Ketika Anda mengaktifkan standar keamanan di AWS Security Hub CSPM, Security Hub CSPM secara otomatis membuat dan mengaktifkan semua kontrol yang berlaku untuk standar. Security Hub CSPM juga mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk kontrol.

Untuk mengoptimalkan cakupan dan keakuratan temuan, aktifkan dan konfigurasikan perekaman sumber daya AWS Config sebelum Anda mengaktifkan standar. Saat Anda mengonfigurasi perekaman sumber daya, pastikan juga untuk mengaktifkannya untuk semua jenis sumber daya yang diperiksa oleh kontrol yang berlaku untuk standar. Jika tidak, Security Hub CSPM mungkin tidak dapat mengevaluasi sumber daya yang sesuai, dan menghasilkan temuan akurat untuk kontrol yang berlaku untuk standar. Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub CSPM](securityhub-setup-prereqs.md).

Setelah Anda mengaktifkan standar, Anda dapat menonaktifkan atau kemudian mengaktifkan kembali kontrol individual yang berlaku untuk standar. Jika Anda menonaktifkan kontrol untuk standar, Security Hub CSPM berhenti menghasilkan temuan untuk kontrol. Selain itu, Security Hub CSPM mengabaikan kontrol saat menghitung skor keamanan untuk standar. Skor keamanan adalah persentase kontrol yang lulus evaluasi, relatif terhadap jumlah total kontrol yang berlaku untuk standar, diaktifkan, dan memiliki data evaluasi.

Saat Anda mengaktifkan standar, Security Hub CSPM menghasilkan skor keamanan awal untuk standar tersebut, biasanya dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau **Standar Keamanan** di konsol CSPM Security Hub. Skor keamanan dibuat hanya untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut di konsol. Selain itu, perekaman sumber daya harus AWS Config dikonfigurasi agar skor muncul. Di Wilayah Tiongkok AWS GovCloud (US) Regions dan, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan skor keamanan awal untuk standar. Setelah Security Hub CSPM menghasilkan skor awal, itu memperbarui skor setiap 24 jam. Untuk menentukan kapan skor keamanan terakhir diperbarui, Anda dapat merujuk ke stempel waktu yang disediakan Security Hub CSPM untuk skor tersebut. Untuk informasi selengkapnya, lihat [Menghitung skor keamanan](standards-security-score.md).

Cara Anda mengaktifkan standar tergantung pada apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) untuk mengelola Security Hub CSPM untuk beberapa akun dan. Wilayah AWS Sebaiknya gunakan konfigurasi pusat jika Anda ingin mengaktifkan standar di lingkungan multi-akun, Multi-wilayah. Anda dapat menggunakan konfigurasi pusat jika Anda mengintegrasikan Security Hub CSPM dengan. AWS Organizations Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengaktifkan setiap standar secara terpisah di setiap akun dan setiap Wilayah.

**Topics**
+ [Mengaktifkan standar di beberapa akun dan Wilayah AWS](#enable-standards-central-configuration)
+ [Mengaktifkan standar dalam satu akun dan Wilayah AWS](#securityhub-standard-enable-console)
+ [Memeriksa status standar](#standard-subscription-status)

## Mengaktifkan standar di beberapa akun dan Wilayah AWS
<a name="enable-standards-central-configuration"></a>

Untuk mengaktifkan dan mengonfigurasi standar keamanan di beberapa akun dan Wilayah AWS, gunakan [konfigurasi pusat](central-configuration-intro.md). Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang mengaktifkan satu atau beberapa standar. Administrator kemudian dapat mengaitkan kebijakan konfigurasi dengan akun individu, unit organisasi (OUs), atau root. Kebijakan konfigurasi memengaruhi Wilayah asal, juga disebut sebagai Wilayah *agregasi, dan semua Wilayah* yang ditautkan.

Kebijakan konfigurasi menawarkan opsi penyesuaian. Misalnya, Anda dapat memilih untuk hanya mengaktifkan standar AWS Foundational Security Best Practices (FSBP) untuk satu OU. Untuk OU lain, Anda dapat memilih untuk mengaktifkan standar FSBP dan standar Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Untuk informasi tentang membuat kebijakan konfigurasi yang memungkinkan standar tertentu yang Anda tentukan, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

Jika Anda menggunakan konfigurasi pusat, Security Hub CSPM tidak secara otomatis mengaktifkan standar apa pun di akun baru atau yang sudah ada. Sebagai gantinya, administrator CSPM Security Hub menentukan standar mana yang akan diaktifkan di akun yang berbeda saat mereka membuat kebijakan konfigurasi CSPM Security Hub untuk organisasi mereka. Security Hub CSPM menawarkan kebijakan konfigurasi yang direkomendasikan di mana hanya standar FSBP yang diaktifkan. Untuk informasi selengkapnya, lihat [Jenis kebijakan konfigurasi](configuration-policies-overview.md#policy-types).

**catatan**  
Administrator CSPM Security Hub dapat menggunakan kebijakan konfigurasi untuk mengaktifkan standar apa pun kecuali standar yang dikelola [AWS Control Tower layanan](service-managed-standard-aws-control-tower.md). Untuk mengaktifkan standar ini, administrator harus menggunakan AWS Control Tower secara langsung. Mereka juga harus menggunakan AWS Control Tower untuk mengaktifkan atau menonaktifkan kontrol individu dalam standar ini untuk akun yang dikelola secara terpusat.

*Jika Anda ingin beberapa akun mengaktifkan dan mengonfigurasi standar untuk akun mereka sendiri, administrator CSPM Security Hub dapat menetapkan akun tersebut sebagai akun yang dikelola sendiri.* Akun yang dikelola sendiri harus mengaktifkan dan mengonfigurasi standar secara terpisah di setiap Wilayah.

## Mengaktifkan standar dalam satu akun dan Wilayah AWS
<a name="securityhub-standard-enable-console"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan standar keamanan secara terpusat di beberapa akun atau. Wilayah AWS Namun, Anda dapat mengaktifkan standar dalam satu akun dan Wilayah. Anda dapat melakukannya dengan menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah ini untuk mengaktifkan standar dalam satu akun dan Wilayah dengan menggunakan konsol CSPM Security Hub.

**Untuk mengaktifkan standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin mengaktifkan standar.

1. Di panel navigasi, pilih **Standar keamanan**. Halaman **standar Keamanan** mencantumkan semua standar yang didukung Security Hub CSPM saat ini. Jika Anda sudah mengaktifkan standar, bagian untuk standar mencakup skor keamanan saat ini dan detail tambahan untuk standar.

1. Di bagian untuk standar yang ingin Anda aktifkan, pilih **Aktifkan standar**.

Untuk mengaktifkan standar di Wilayah tambahan, ulangi langkah-langkah sebelumnya di setiap Wilayah tambahan.

------
#### [ Security Hub CSPM API ]

Untuk mengaktifkan standar secara terprogram dalam satu akun dan Wilayah, gunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) Atau, jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)perintah.

Dalam permintaan Anda, gunakan `StandardsArn` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda aktifkan. Tentukan juga Wilayah tempat permintaan Anda berlaku. Misalnya, perintah berikut memungkinkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP):

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Di *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** mana ARN dari standar FSBP di Wilayah AS Timur (Virginia N.), dan *us-east-1* merupakan Wilayah untuk mengaktifkannya.

Untuk mendapatkan ARN untuk standar, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operasi atau, jika Anda menggunakan AWS CLI, jalankan perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)

Untuk terlebih dahulu meninjau daftar standar yang saat ini diaktifkan di akun Anda, Anda dapat menggunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)operasi. Jika Anda menggunakan AWS CLI, Anda dapat menjalankan [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)perintah untuk mengambil daftar ini.

------

Setelah Anda mengaktifkan standar, Security Hub CSPM mulai melakukan tugas untuk mengaktifkan standar di akun dan Wilayah yang ditentukan. Ini termasuk membuat semua kontrol yang berlaku untuk standar. Untuk memantau status tugas-tugas ini, Anda dapat memeriksa status standar untuk akun dan Wilayah.

## Memeriksa status standar
<a name="standard-subscription-status"></a>

Saat Anda mengaktifkan standar keamanan untuk akun, Security Hub CSPM mulai membuat semua kontrol yang berlaku untuk standar di akun. Security Hub CSPM juga melakukan tugas-tugas tambahan untuk mengaktifkan standar untuk akun, seperti menghasilkan skor keamanan awal untuk standar. Sementara Security Hub CSPM melakukan tugas-tugas ini, status standar adalah *Pending*untuk akun. Status standar kemudian melewati status tambahan, yang dapat Anda pantau dan periksa.

**catatan**  
Perubahan pada kontrol individual untuk standar tidak memengaruhi status keseluruhan standar. Misalnya, jika Anda mengaktifkan kontrol yang sebelumnya dinonaktifkan, perubahan Anda tidak akan memengaruhi status standar. Demikian pula, jika Anda mengubah nilai parameter untuk kontrol yang diaktifkan, perubahan Anda tidak akan memengaruhi status standar.

Untuk memeriksa status standar menggunakan konsol CSPM Security Hub, pilih **Standar keamanan** di panel navigasi. Halaman **standar Keamanan** mencantumkan semua standar yang didukung Security Hub CSPM saat ini. Jika Security Hub CSPM saat ini melakukan tugas untuk mengaktifkan standar, bagian untuk standar menunjukkan bahwa Security Hub CSPM masih menghasilkan skor keamanan untuk standar. Jika standar diaktifkan, bagian untuk standar mencakup skor saat ini. Pilih **Lihat hasil** untuk meninjau detail tambahan, termasuk status kontrol individual yang berlaku untuk standar. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

Untuk memeriksa status standar secara terprogram dengan Security Hub CSPM API, gunakan operasi. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Dalam permintaan Anda, secara opsional gunakan `StandardsSubscriptionArns` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang statusnya ingin Anda periksa. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), Anda dapat menjalankan [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)perintah untuk memeriksa status standar. Untuk menentukan ARN standar yang akan diperiksa, gunakan parameter. `standards-subscription-arns` Untuk menentukan ARN mana yang akan ditentukan, Anda dapat menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)operasi atau, untuk AWS CLI, jalankan perintah. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)

Jika permintaan Anda berhasil, Security Hub CSPM merespons dengan array objek. `StandardsSubscription` *Langganan standar* adalah AWS sumber daya yang dibuat CSPM Security Hub di akun saat standar diaktifkan untuk akun tersebut. Setiap `StandardsSubscription` objek memberikan rincian tentang standar yang saat ini diaktifkan atau sedang diaktifkan atau dinonaktifkan untuk akun. Dalam setiap objek, `StandardsStatus` bidang menentukan status standar saat ini untuk akun.

Status standar (`StandardsStatus`) dapat menjadi salah satu dari berikut ini.

**PENDING**  
Security Hub CSPM saat ini sedang melakukan tugas untuk mengaktifkan standar untuk akun. Ini termasuk membuat kontrol yang berlaku untuk standar, dan menghasilkan skor keamanan awal untuk standar. Diperlukan beberapa menit untuk Security Hub CSPM untuk menyelesaikan semua tugas. Standar juga dapat memiliki status ini jika sudah diaktifkan untuk akun dan Security Hub CSPM saat ini menambahkan kontrol baru ke standar.  
Jika standar memiliki status ini, Anda mungkin tidak dapat mengambil rincian kontrol individual yang berlaku untuk standar. Selain itu, Anda mungkin tidak dapat mengonfigurasi atau menonaktifkan kontrol individual untuk standar. Misalnya, jika Anda mencoba menonaktifkan kontrol dengan menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)operasi, kesalahan terjadi.  
Untuk menentukan apakah Anda dapat mengonfigurasi atau mengelola kontrol individual untuk standar, lihat nilai untuk `StandardsControlsUpdatable` bidang tersebut. Jika nilai untuk bidang ini`READY_FOR_UPDATES`, Anda dapat mulai mengelola kontrol individual untuk standar. Jika tidak, tunggu hingga Security Hub CSPM menyelesaikan tugas pemrosesan tambahan untuk mengaktifkan standar.

**READY**  
Standar saat ini diaktifkan untuk akun. Security Hub CSPM dapat menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk semua kontrol yang berlaku untuk standar dan saat ini diaktifkan. Security Hub CSPM juga dapat menghitung skor keamanan untuk standar.  
Jika standar memiliki status ini, Anda dapat mengambil rincian kontrol individual yang berlaku untuk standar. Selain itu, Anda dapat mengonfigurasi, menonaktifkan, atau mengaktifkan kembali kontrol. Anda juga dapat menonaktifkan standar.

**INCOMPLETE**  
Security Hub CSPM tidak dapat mengaktifkan standar sepenuhnya untuk akun. Security Hub CSPM tidak dapat menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk semua kontrol yang berlaku untuk standar dan saat ini diaktifkan. Selain itu, Security Hub CSPM tidak dapat menghitung skor keamanan untuk standar.  
Untuk menentukan mengapa standar tidak diaktifkan sepenuhnya, lihat informasi dalam `StandardsStatusReason` array. Array ini menentukan masalah yang mencegah CSPM Security Hub mengaktifkan standar. Jika terjadi kesalahan internal, coba aktifkan standar untuk akun lagi. Untuk jenis masalah lainnya, [periksa AWS Config pengaturan Anda](securityhub-setup-prereqs.md). Anda juga dapat [menonaktifkan kontrol individual](disable-controls-overview.md) yang tidak ingin Anda periksa, atau menonaktifkan standar sepenuhnya.

**DELETING**  
Security Hub CSPM saat ini sedang memproses permintaan untuk menonaktifkan standar untuk akun. Ini termasuk menonaktifkan kontrol yang berlaku untuk standar, dan menghapus skor keamanan terkait. Diperlukan beberapa menit untuk Security Hub CSPM untuk menyelesaikan pemrosesan permintaan.  
Jika standar memiliki status ini, Anda tidak dapat mengaktifkan kembali standar atau mencoba menonaktifkannya lagi untuk akun tersebut. Security Hub CSPM harus menyelesaikan pemrosesan permintaan saat ini terlebih dahulu. Selain itu, Anda tidak dapat mengambil detail kontrol individual yang berlaku untuk standar atau mengelola kontrol.

**FAILED**  
Security Hub CSPM tidak dapat menonaktifkan standar untuk akun tersebut. Satu atau beberapa kesalahan terjadi ketika Security Hub CSPM mencoba untuk menonaktifkan standar. Selain itu, Security Hub CSPM tidak dapat menghitung skor keamanan untuk standar.  
Untuk menentukan mengapa standar tidak dinonaktifkan sepenuhnya, lihat informasi dalam `StandardsStatusReason` array. Array ini menentukan masalah yang mencegah CSPM Security Hub menonaktifkan standar.  
Jika standar memiliki status ini, Anda tidak dapat mengambil detail kontrol individual yang berlaku untuk standar atau mengelola kontrol. Namun, Anda dapat mengaktifkan kembali standar untuk akun tersebut. Jika Anda mengatasi masalah yang mencegah CSPM Security Hub menonaktifkan standar, Anda juga dapat mencoba menonaktifkan standar lagi.

Jika status standar adalah`READY`, Security Hub CSPM menjalankan pemeriksaan keamanan dan menghasilkan temuan untuk semua kontrol yang berlaku untuk standar dan saat ini diaktifkan. Untuk status lain, Security Hub CSPM mungkin menjalankan pemeriksaan dan menghasilkan temuan untuk beberapa, tetapi tidak semua, kontrol yang diaktifkan. Diperlukan waktu hingga 24 jam untuk menghasilkan atau memperbarui temuan kontrol. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).

# Meninjau detail standar keamanan
<a name="securityhub-standards-view-controls"></a>

Setelah Anda mengaktifkan standar keamanan di AWS Security Hub CSPM, Anda dapat menggunakan konsol untuk meninjau detail standar. Di konsol, halaman detail untuk standar mencakup informasi berikut:
+ Skor keamanan saat ini untuk standar.
+ Tabel kontrol yang berlaku untuk standar.
+ Statistik agregat untuk kontrol yang berlaku untuk standar.
+ Ringkasan visual status kontrol yang berlaku untuk standar.
+ Ringkasan visual pemeriksaan keamanan untuk kontrol yang diaktifkan dan berlaku untuk standar. Jika Anda mengintegrasikan dengan AWS Organizations, kontrol yang diaktifkan di setidaknya satu akun organisasi dianggap diaktifkan.

Untuk meninjau detail ini, pilih **Standar keamanan** di panel navigasi di konsol. Kemudian, di bagian untuk standar, pilih **Lihat hasil**. Untuk analisis yang lebih dalam, Anda dapat memfilter dan mengurutkan data, dan menelusuri untuk meninjau detail kontrol individual yang berlaku untuk standar.

**Topics**
+ [Memahami skor keamanan standar](#standard-details-overview)
+ [Meninjau kontrol untuk standar](#standard-controls-list)

## Memahami skor keamanan standar
<a name="standard-details-overview"></a>

Pada konsol CSPM AWS Security Hub, halaman detail untuk standar menampilkan skor keamanan untuk standar. Skor adalah persentase kontrol yang lulus evaluasi, relatif terhadap jumlah total kontrol yang berlaku untuk standar, diaktifkan, dan memiliki data evaluasi. Di bawah skor adalah bagan yang merangkum pemeriksaan keamanan untuk kontrol yang diaktifkan untuk standar. Ini termasuk jumlah pemeriksaan keamanan yang lulus dan gagal. Untuk akun administrator, skor dan bagan standar digabungkan di seluruh akun administrator dan semua akun anggota. Untuk meninjau pemeriksaan keamanan yang gagal untuk kontrol yang memiliki tingkat keparahan tertentu, pilih tingkat keparahannya.

Saat Anda mengaktifkan standar, Security Hub CSPM menghasilkan skor keamanan awal untuk standar, biasanya dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman **Ringkasan** atau halaman **standar Keamanan di konsol** CSPM Security Hub. Skor dihasilkan hanya untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut. Selain itu, perekaman AWS Config sumber daya harus dikonfigurasi agar skor muncul. Di Wilayah Tiongkok AWS GovCloud (US) Regions dan, dibutuhkan waktu hingga 24 jam bagi Security Hub CSPM untuk menghasilkan skor awal. Setelah Security Hub CSPM menghasilkan skor awal untuk standar, itu memperbarui skor setiap 24 jam. Untuk informasi selengkapnya, lihat [Menghitung skor keamanan](standards-security-score.md).

Semua data pada halaman detail **standar Keamanan** khusus untuk saat ini Wilayah AWS kecuali Anda menetapkan Wilayah agregasi. Jika Anda menetapkan Wilayah agregasi, skor keamanan berlaku di seluruh Wilayah dan menyertakan temuan untuk semua Wilayah yang ditautkan. Selain itu, status kepatuhan kontrol mencerminkan temuan dari Wilayah terkait, dan jumlah pemeriksaan keamanan mencakup temuan dari Wilayah terkait.

## Meninjau kontrol untuk standar
<a name="standard-controls-list"></a>

Saat Anda menggunakan konsol CSPM AWS Security Hub untuk meninjau detail standar yang Anda aktifkan, Anda dapat meninjau tabel kontrol keamanan yang berlaku untuk standar. Untuk setiap kontrol, tabel mencakup informasi berikut:
+ ID kontrol dan judul.
+ Status kontrol. Untuk informasi selengkapnya, lihat [Mengevaluasi status kepatuhan dan status kontrol](controls-overall-status.md).
+ Tingkat keparahan yang ditugaskan untuk kontrol.
+ Jumlah cek yang gagal dan jumlah total cek. Jika berlaku, bidang **Pemeriksaan gagal** juga menentukan jumlah temuan dengan status **Tidak Diketahui**.
+ Apakah kontrol mendukung parameter khusus. Untuk informasi selengkapnya, lihat [Memahami parameter kontrol di Security Hub CSPM](custom-control-parameters.md).

Security Hub CSPM memperbarui status kontrol dan hitungan pemeriksaan keamanan setiap 24 jam. Stempel waktu di bagian atas halaman menunjukkan kapan Security Hub CSPM terbaru memperbarui data ini.

Untuk akun administrator, status kontrol dan jumlah pemeriksaan keamanan dikumpulkan di seluruh akun administrator dan semua akun anggota. Hitungan kontrol yang diaktifkan mencakup kontrol yang diaktifkan untuk standar di akun administrator atau setidaknya satu akun anggota. Hitungan kontrol yang dinonaktifkan mencakup kontrol yang dinonaktifkan untuk standar di akun administrator dan semua akun anggota.

Anda dapat memfilter tabel kontrol yang berlaku untuk standar. Menggunakan opsi **Filter menurut** di sebelah tabel, Anda dapat memilih untuk melihat hanya kontrol yang diaktifkan atau hanya dinonaktifkan untuk standar. Jika Anda hanya menampilkan kontrol yang diaktifkan, Anda dapat memfilter tabel lebih lanjut berdasarkan status kontrol. Anda kemudian dapat fokus pada kontrol yang memiliki status kontrol tertentu. Selain **Filter menurut** opsi, Anda dapat memasukkan kriteria filter di kotak **Kontrol filter**. Misalnya, Anda dapat memfilter berdasarkan ID kontrol atau judul.

Pilih metode akses pilihan Anda. Kemudian ikuti langkah-langkah untuk meninjau kontrol yang berlaku untuk standar yang Anda aktifkan.

------
#### [ Security Hub CSPM console ]

**Untuk meninjau kontrol untuk standar yang diaktifkan**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Pilih **Standar keamanan** di panel navigasi.

1. Di bagian untuk standar, pilih **Lihat hasil**.

Tabel di bagian bawah halaman mencantumkan semua kontrol yang berlaku untuk standar. Anda dapat memfilter dan mengurutkan tabel. Anda juga dapat mengunduh halaman tabel saat ini sebagai file CSV. Untuk melakukan ini, pilih **Unduh** di atas tabel. Jika Anda memfilter tabel, file yang diunduh hanya menyertakan kontrol yang cocok dengan pengaturan filter Anda saat ini.

------
#### [ Security Hub CSPM API ]

**Untuk meninjau kontrol untuk standar yang diaktifkan**

1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)pengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan [list-security-control-definitions](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)perintah.

   Tentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda tinjau kontrol. ARNs Untuk mendapatkan standar, gunakan [DescribeStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)operasi atau jalankan [perintah deskripsi-standar](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html). Jika Anda tidak menentukan ARN untuk standar, Security Hub CSPM mengembalikan semua kontrol keamanan. IDs

1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)pengoperasian Security Hub CSPM API, atau jalankan perintah. [list-standards-control-associations](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) Operasi ini memberi tahu Anda standar mana kontrol diaktifkan.

   Identifikasi kontrol dengan memberikan ID kontrol keamanan atau ARN. Parameter pagination adalah opsional.

Contoh berikut memberi tahu Anda standar mana kontrol Config.1 diaktifkan.

```
$ aws securityhub list-standards-control-associations --region us-east-1 --security-control-id Config.1
```

------

# Mematikan standar keamanan yang diaktifkan secara otomatis
<a name="securityhub-auto-enabled-standards"></a>

Jika organisasi Anda tidak menggunakan konfigurasi pusat, ia menggunakan jenis konfigurasi yang disebut *konfigurasi lokal*. Dengan konfigurasi lokal, AWS Security Hub CSPM dapat secara otomatis mengaktifkan standar keamanan default untuk akun anggota baru saat akun bergabung dengan organisasi Anda. Semua kontrol yang berlaku untuk standar default ini juga diaktifkan secara otomatis.

Saat ini, standar keamanan default adalah standar Praktik Terbaik Keamanan AWS Dasar dan standar Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Untuk informasi tentang standar ini, lihat[Referensi standar untuk Security Hub CSPM](standards-reference.md).

Jika Anda memilih untuk mengaktifkan standar keamanan secara manual untuk akun anggota baru, Anda dapat mematikan pengaktifan otomatis standar default. Anda dapat melakukan ini hanya jika Anda mengintegrasikan dengan AWS Organizations dan menggunakan konfigurasi lokal. Jika Anda menggunakan konfigurasi pusat, Anda dapat membuat kebijakan konfigurasi yang mengaktifkan standar default dan mengaitkan kebijakan dengan root. Semua akun organisasi Anda OUs kemudian mewarisi kebijakan konfigurasi ini kecuali jika dikaitkan dengan kebijakan yang berbeda atau dikelola sendiri. Jika Anda tidak berintegrasi dengan AWS Organizations, Anda dapat menonaktifkan standar default ketika Anda awalnya mengaktifkan Security Hub CSPM atau yang lebih baru. Untuk mempelajari caranya, lihat [Menonaktifkan standar](disable-standards.md).

Untuk menonaktifkan pengaktifan otomatis standar default untuk akun anggota baru, Anda dapat menggunakan konsol CSPM Security Hub atau Security Hub CSPM API.

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah berikut untuk mematikan pengaktifan otomatis standar default dengan menggunakan konsol CSPM Security Hub.

**Untuk mematikan pengaktifan otomatis standar default**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensi akun administrator.

1. Di panel navigasi, di bawah **Pengaturan**, pilih **Konfigurasi**.

1. Di bagian **Ikhtisar**, pilih **Edit**.

1. Di bawah **Pengaturan akun baru**, kosongkan kotak centang **Aktifkan standar keamanan default**.

1. Pilih **Konfirmasi**.

------
#### [ Security Hub CSPM API ]

Untuk mematikan pengaktifan otomatis standar default secara terprogram, dari akun administrator CSPM Security Hub, gunakan pengoperasian Security Hub CSPM API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) Dalam permintaan Anda, tentukan `NONE` `AutoEnableStandards` parameternya. 

Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)perintah untuk mematikan pengaktifan otomatis standar default. Untuk parameter `auto-enable-standards`, tentukan `NONE`. Misalnya, perintah berikut secara otomatis mengaktifkan Security Hub CSPM untuk akun anggota baru, dan mematikan pengaktifan otomatis standar default untuk akun tersebut.

```
$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE
```

------

# Menonaktifkan standar keamanan
<a name="disable-standards"></a>

Ketika Anda menonaktifkan standar keamanan di AWS Security Hub CSPM, hal berikut akan terjadi:
+ Semua kontrol yang berlaku untuk standar dinonaktifkan, kecuali jika diasosiasikan dengan standar lain yang saat ini diaktifkan.
+ Pemeriksaan keamanan untuk kontrol yang dinonaktifkan tidak lagi dilakukan, dan tidak ada temuan tambahan yang dihasilkan untuk kontrol yang dinonaktifkan.
+ Temuan yang ada untuk kontrol yang dinonaktifkan diarsipkan secara otomatis setelah sekitar 3-5 hari.
+ AWS Config aturan bahwa Security Hub CSPM dibuat untuk kontrol yang dinonaktifkan dihapus.

Penghapusan AWS Config aturan yang sesuai biasanya terjadi dalam beberapa menit setelah menonaktifkan standar. Namun, mungkin butuh waktu lebih lama. Jika permintaan pertama gagal menghapus aturan, Security Hub CSPM mencoba lagi setiap 12 jam. Namun, jika Anda menonaktifkan CSPM Security Hub atau tidak mengaktifkan standar lain, CSPM Security Hub tidak dapat mencoba lagi, yang berarti tidak dapat menghapus aturan. Jika ini terjadi dan Anda perlu menghapus aturan, hubungi AWS Dukungan.

**Topics**
+ [Menonaktifkan standar di beberapa akun dan Wilayah AWS](#disable-standards-central-configuration)
+ [Menonaktifkan standar dalam satu akun dan Wilayah AWS](#securityhub-standard-disable-console)

## Menonaktifkan standar di beberapa akun dan Wilayah AWS
<a name="disable-standards-central-configuration"></a>

Untuk menonaktifkan standar keamanan di beberapa akun dan Wilayah AWS, gunakan [konfigurasi pusat](central-configuration-intro.md). Dengan konfigurasi pusat, administrator CSPM Security Hub yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang menonaktifkan satu atau beberapa standar. Administrator kemudian dapat mengaitkan kebijakan konfigurasi dengan akun individu, unit organisasi (OUs), atau root. Kebijakan konfigurasi memengaruhi Wilayah asal, juga disebut sebagai Wilayah *agregasi, dan semua Wilayah* yang ditautkan.

Kebijakan konfigurasi menawarkan opsi penyesuaian. Misalnya, Anda dapat memilih untuk menonaktifkan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) dalam satu OU. Untuk OU lain, Anda dapat memilih untuk menonaktifkan standar PCI DSS dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Untuk informasi tentang membuat kebijakan konfigurasi yang mengaktifkan atau menonaktifkan standar individual yang Anda tentukan, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).

**catatan**  
Administrator CSPM Security Hub dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar apa pun kecuali standar yang dikelola [AWS Control Tower layanan](service-managed-standard-aws-control-tower.md). Untuk menonaktifkan standar ini, administrator harus menggunakan AWS Control Tower secara langsung. Mereka juga harus menggunakan AWS Control Tower untuk menonaktifkan atau mengaktifkan kontrol individu dalam standar ini untuk akun yang dikelola secara terpusat.

*Jika Anda ingin beberapa akun mengonfigurasi atau menonaktifkan standar untuk akun mereka sendiri, administrator CSPM Security Hub dapat menetapkan akun tersebut sebagai akun yang dikelola sendiri.* Akun yang dikelola sendiri harus menonaktifkan standar secara terpisah di setiap Wilayah.

## Menonaktifkan standar dalam satu akun dan Wilayah AWS
<a name="securityhub-standard-disable-console"></a>

Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar keamanan secara terpusat di beberapa akun atau. Wilayah AWS Namun, Anda dapat menonaktifkan standar dalam satu akun dan Wilayah. Anda dapat melakukannya dengan menggunakan konsol CSPM Security Hub atau Security Hub CSPM API. 

------
#### [ Security Hub CSPM console ]

Ikuti langkah-langkah ini untuk menonaktifkan standar dalam satu akun dan Wilayah dengan menggunakan konsol CSPM Security Hub.

**Untuk menonaktifkan standar dalam satu akun dan Wilayah**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah di mana Anda ingin menonaktifkan standar.

1. Di panel navigasi, pilih **Standar keamanan**.

1. Di bagian untuk standar yang ingin Anda nonaktifkan, pilih **Nonaktifkan standar**.

Untuk menonaktifkan standar di Wilayah tambahan, ulangi langkah-langkah sebelumnya di setiap Wilayah tambahan.

------
#### [ Security Hub CSPM API ]

Untuk menonaktifkan standar secara terprogram dalam satu akun dan Wilayah, gunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchDisableStandards.html) Atau, jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html)perintah.

Dalam permintaan Anda, gunakan `StandardsSubscriptionArns` parameter untuk menentukan Nama Sumber Daya Amazon (ARN) dari standar yang ingin Anda nonaktifkan. Jika Anda menggunakan AWS CLI, gunakan `standards-subscription-arns` parameter untuk menentukan ARN. Tentukan juga Wilayah tempat permintaan Anda berlaku. Misalnya, perintah berikut menonaktifkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP) untuk akun (): *123456789012*

```
$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1
```

Di *arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0* mana ARN standar FSBP untuk akun di Wilayah AS Timur (Virginia N.), dan *us-east-1* merupakan Wilayah untuk menonaktifkannya.

Untuk mendapatkan ARN untuk standar, Anda dapat menggunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) Operasi ini mengambil informasi tentang standar yang saat ini diaktifkan di akun Anda. Jika Anda menggunakan AWS CLI, Anda dapat menjalankan [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)perintah untuk mengambil informasi ini.

------

Setelah Anda menonaktifkan standar, Security Hub CSPM mulai melakukan tugas untuk menonaktifkan standar di akun dan Wilayah yang ditentukan. Ini termasuk menonaktifkan semua kontrol yang berlaku untuk standar. Untuk memantau status tugas-tugas ini, Anda dapat [memeriksa status standar](enable-standards.md#standard-subscription-status) untuk akun dan Wilayah.