Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Regole curate SCPs e di Config
Regole curate SCPs e di Config per AMS Advanced.
Politiche di controllo del servizio (SCPs): quelle fornite SCPs si aggiungono a quelle AMS predefinite.
È possibile utilizzare questi controlli della libreria insieme a quelli predefiniti per soddisfare requisiti di sicurezza specifici.
Regole di configurazione: come misura di base, AMS consiglia di applicare i Conformance Pack (vedi Conformance Pack nella AWS Config guida) oltre alle regole di configurazione AMS predefinite (vedi Artefatti AMS per le regole predefinite). I Conformance Pack coprono la maggior parte dei requisiti di conformità e AWS li aggiorna regolarmente.
Le regole elencate qui possono essere utilizzate per colmare lacune specifiche dei casi d'uso che non sono coperte dai Conformance Pack
Nota
Man mano che le regole e i pacchetti di conformità predefiniti di AMS vengono aggiornati nel tempo, potresti vedere dei duplicati di queste regole.
In generale, AMS consiglia di eseguire una pulizia periodica delle regole di Config duplicate.
Per AMS Advanced, Config Rules non deve utilizzare riparazioni automatiche (vedi Remediating Noncompliant AWS Resources by AWS Config Rules) per evitare modifiche. out-of-band
SCP-AMS-001: Limita la creazione di EBS
Impedisci la creazione di volumi EBS se la crittografia non è abilitata.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:CreateVolume", "Resource": "*", "Effect": "Deny" }
SCP-AMS-002: Limita il lancio EC2
Impedisci l'avvio di un' EC2 istanza se il volume EBS non è crittografato. Ciò include la negazione di un EC2 avvio da dati non crittografati, AMIs poiché questo SCP si applica anche ai volumi root.
{ "Condition": { "Bool": { "ec2:Encrypted": "false" } }, "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:volume/*", "Effect": "Deny" }
SCP-ADV-001: Limita gli invii RFC
Impedisci ai ruoli AMS predefiniti di inviare dati automatici specifici RFCs come Create VPC o Delete VPC. Ciò è utile se desideri applicare autorizzazioni più granulari ai ruoli federati.
Ad esempio, potresti volere che l'impostazione predefinita AWSManagedServicesChangeManagement Role sia in grado di inviare la maggior parte delle informazioni disponibili RFCs tranne quelle che consentono la creazione e l'eliminazione di un VPC, la creazione di sottoreti aggiuntive, l'offboarding di un account dell'applicazione, l'aggiornamento o l'eliminazione dei provider di identità SAML:
SCP-AMS-003: Limita o crea RDS in AMS EC2
Impedisci la creazione di istanze Amazon EC2 e RDS prive di tag specifici, permettendo al AMS Backup IAM ruolo predefinito di AMS di farlo. Ciò è necessario per il disaster recovery o il DR.
{ "Sid": "DenyRunInstanceWithNoOrganizationTag", "Effect": "Deny", "Action": [ "ec2:RunInstances", "rds:CreateDBInstance" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:rds:*:*:db:*" ], "Condition": { "Null": { "aws:RequestTag/organization": "true" }, "StringNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::<Account_Number>:role/ams-backup-iam-role" ] } } }
SCP-AMS-004: Limita i caricamenti su S3
Impedisci il caricamento di oggetti S3 non crittografati.
{ "Sid": "DenyUnencryptedS3Uploads", "Effect": "Deny", "Action": "s3:PutObject", "Resource": "*", "Condition": { "StringNotLike": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }, "Null": { "s3:x-amz-server-side-encryption": "false" } } } ] }
SCP-AMS-005: Limita l'accesso all'API e alla console
Impedisci l'accesso alla console AWS e all'API per le richieste provenienti da indirizzi IP noti non validi come cliente determinato InfoSec.
SCP-AMS-006: Impedisci all'entità IAM di rimuovere l'account membro dall'organizzazione
Impedire a un' AWS Identity and Access Management entità di rimuovere gli account dei membri dall'organizzazione.
{ "Effect": "Deny", "Action": ["organizations:LeaveOrganization"], "Resource": ["*"] }
SCP-AMS-007: Impedisci la condivisione di risorse con account esterni alla tua organizzazione
Impedite la condivisione di risorse con account esterni all' AWS organizzazione
{ "Effect": "Deny", "Action": [ "ram:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "ram:AllowsExternalPrincipals": "true" } } }, { "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:UpdateResourceShare" ], "Resource": "*", "Condition": { "Bool": { "ram:RequestedAllowsExternalPrincipals": "true" } } }
SCP-AMS-008: Impedisci la condivisione con organizzazioni o unità organizzative () OUs
Impedisci la condivisione di risorse con un' and/or unità organizzativa dell'account appartenente a un'organizzazione.
{ "Effect": "Deny", "Action": [ "ram:CreateResourceShare", "ram:AssociateResourceShare" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "ram:Principal": [ "arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}", "arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}" ] } } }
SCP-AMS-009: Impedisci agli utenti di accettare inviti alla condivisione di risorse
Impedisci agli account dei membri di accettare inviti AWS RAM a partecipare alla condivisione di risorse. Questa API non supporta alcuna condizione e impedisce le condivisioni solo da account esterni.
{ "Effect": "Deny", "Action": ["ram:AcceptResourceShareInvitation"], "Resource": ["*"] }
SCP-AMS-010: Impedisci che la regione dell'account abiliti e disabiliti le azioni
Impedisci l'attivazione o la disabilitazione di nuove AWS regioni per i tuoi AWS account.
{ "Effect": "Deny", "Action": [ "account:EnableRegion", "account:DisableRegion" ], "Resource": "*" }
SCP-AMS-011: Impedisci le azioni di modifica della fatturazione
Impedisci modifiche alla configurazione di fatturazione e pagamento.
{ "Effect": "Deny", "Action": [ "aws-portal:ModifyBilling", "aws-portal:ModifyAccount", "aws-portal:ModifyPaymentMethods" ], "Resource": "*" }
SCP-AMS-012: Impedisci la cancellazione o la modifica di specifiche CloudTrails
Impedisci modifiche a AWS CloudTrail percorsi specifici.
{ "Effect": "Deny", "Action": [ "cloudtrail:DeleteEventDataStore", "cloudtrail:DeleteTrail", "cloudtrail:PutEventSelectors", "cloudtrail:PutInsightSelectors", "cloudtrail:UpdateEventDataStore", "cloudtrail:UpdateTrail", "cloudtrail:StopLogging" ], "Resource": [ "arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}" ] }
SCP-AMS-013: Impedisci di disabilitare la crittografia EBS predefinita
Impedisci la disabilitazione della crittografia Amazon EBS predefinita.
{ "Effect": "Deny", "Action": [ "ec2:DisableEbsEncryptionByDefault" ], "Resource": "*" }
SCP-AMS-014: Impedisci la creazione di VPC e sottorete predefiniti
Impedisci la creazione di un Amazon VPC e di sottoreti predefiniti.
{ "Effect": "Deny", "Action": [ "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc" ], "Resource": "*" }
SCP-AMS-015: Impedisci la disabilitazione e la modifica GuardDuty
Impedisci che Amazon GuardDuty venga modificato o disabilitato.
{ "Effect": "Deny", "Action": [ "guardduty:AcceptInvitation", "guardduty:ArchiveFindings", "guardduty:CreateDetector", "guardduty:CreateFilter", "guardduty:CreateIPSet", "guardduty:CreateMembers", "guardduty:CreatePublishingDestination", "guardduty:CreateSampleFindings", "guardduty:CreateThreatIntelSet", "guardduty:DeclineInvitations", "guardduty:DeleteDetector", "guardduty:DeleteFilter", "guardduty:DeleteInvitations", "guardduty:DeleteIPSet", "guardduty:DeleteMembers", "guardduty:DeletePublishingDestination", "guardduty:DeleteThreatIntelSet", "guardduty:DisableOrganizationAdminAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:DisassociateMembers", "guardduty:InviteMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:TagResource", "guardduty:UnarchiveFindings", "guardduty:UntagResource", "guardduty:UpdateDetector", "guardduty:UpdateFilter", "guardduty:UpdateFindingsFeedback", "guardduty:UpdateIPSet", "guardduty:UpdateMalwareScanSettings", "guardduty:UpdateMemberDetectors", "guardduty:UpdateOrganizationConfiguration", "guardduty:UpdatePublishingDestination", "guardduty:UpdateThreatIntelSet" ], "Resource": "*" }
SCP-AMS-016: Impedisci l'attività degli utenti root
Impedisci all'utente root di eseguire qualsiasi azione.
{ "Action": "*", "Resource": "*", "Effect": "Deny", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } }
SCP-AMS-017: Impedisci di creare chiavi di accesso per l'utente root
Impedisci la creazione di chiavi di accesso per l'utente root.
{ "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": "arn:aws:iam::*:root" }
SCP-AMS-018: Impedisci di disabilitare il blocco di accesso pubblico all'account S3
Impedisci la disabilitazione del blocco di accesso pubblico a un account Amazon S3. In questo modo si evita che qualsiasi bucket dell'account diventi pubblico.
{ "Effect": "Deny", "Action": "s3:PutAccountPublicAccessBlock", "Resource": "*" }
SCP-AMS-019: Impedisci di disabilitare AWS Config o modificare le regole di Config
Impedisci la disabilitazione o la modifica delle regole. AWS Config
{ "Effect": "Deny", "Action": [ "config:DeleteConfigRule", "config:DeleteConfigurationRecorder", "config:DeleteDeliveryChannel", "config:DeleteEvaluationResults", "config:StopConfigurationRecorder" ], "Resource": "*" }
SCP-AMS-020: Impedisci tutte le azioni IAM
Impedisci tutte le azioni IAM.
{ "Effect": "Deny", "Action": [ "iam:*" ], "Resource": "*" }
SCP-AMS-021: Impedisci l'eliminazione di log, gruppi e flussi CloudWatch
Impedisci l'eliminazione di gruppi e stream Amazon CloudWatch Logs.
{ "Effect": "Deny", "Action": [ "logs:DeleteLogGroup", "logs:DeleteLogStream" ], "Resource": "*" }
SCP-AMS-022: Impedisci la cancellazione di Glacier
Impedisci l'eliminazione di Amazon Glacier.
{ "Effect": "Deny", "Action": [ "glacier:DeleteArchive", "glacier:DeleteVault" ], "Resource": "*" }
SCP-AMS-023: Impedisci l'eliminazione di IAM Access Analyzer
Impedisci l'eliminazione di IAM Access Analyzer.
{ "Action": [ "access-analyzer:DeleteAnalyzer" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-024: Impedisci modifiche al Security Hub
Impedire l'eliminazione di. AWS Security Hub
{ "Action": [ "securityhub:DeleteInvitations", "securityhub:DisableSecurityHub", "securityhub:DisassociateFromMasterAccount", "securityhub:DeleteMembers", "securityhub:DisassociateMembers" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-025: Impedisci la cancellazione sotto Directory Service
Impedisci l'eliminazione delle risorse sotto Directory Service.
{ "Action": [ "ds:DeleteDirectory", "ds:DeleteLogSubscription", "ds:DeleteSnapshot", "ds:DeleteTrust", "ds:DeregisterCertificate", "ds:DeregisterEventTopic", "ds:DisableLDAPS", "ds:DisableRadius", "ds:DisableSso", "ds:UnshareDirectory" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-026: Impedisci l'uso del servizio negato
Impedire l'uso dei servizi negati.
Nota
Sostituisci service1 e service2 con i nomi dei tuoi servizi. Esempio access-analyzer oIAM.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"] }
SCP-AMS-027: Impedisci l'uso di servizi negati in regioni specifiche
Impedire l'uso di servizi negati in aree geografiche specifiche. AWS
Nota
Sostituisci service1 e service2 con i nomi dei tuoi servizi. Esempio access-analyzer oIAM.
Sostituisci region1 e region2 con i nomi dei tuoi servizi. Esempio us-west-2 ouse-east-1.
{ "Effect": "Deny", "Resource": "*", "Action": ["service1:*", "service2:*"], "Condition": { "StringEquals": { "aws:RequestedRegion": [ "region1", "region2" ] } } }
SCP-AMS-028: Impedisci che i tag vengano modificati se non da mandanti autorizzati
Impedisci la modifica dei tag da parte di qualsiasi utente ad eccezione dei principali autorizzati. Usa i tag di autorizzazione per autorizzare i principali. I tag di autorizzazione devono essere associati alle risorse e ai presidi. A user/role è considerato autorizzato solo se il tag sulla risorsa e sul principale corrispondono. Per ulteriori informazioni, consulta le seguenti risorse:
{ "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "ec2:ResourceTag/access-project": false } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}", "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "ForAnyValue:StringEquals": { "aws:TagKeys": [ "access-project" ] } } }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}" }, "Null": { "aws:PrincipalTag/access-project": true } } }
SCP-AMS-029: Impedisci agli utenti di eliminare i log di flusso di Amazon VPC
Impedisci l'eliminazione di Amazon VPC Flow Logs.
{ "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream", "s3:DeleteBucket", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:PutLifecycleConfiguration", "firehose:DeleteDeliveryStream" ], "Resource": "*", "Effect": "Deny" }
SCP-AMS-030: Impedisci la condivisione della sottorete VPC con account diversi dall'account di rete
Impedisci la condivisione di sottoreti Amazon VPC con account diversi dall'account di rete.
Nota
Sostituiscilo NETWORK_ACCOUNT_ID con l'ID del tuo account di rete.
{ "Effect": "Deny", "Action": [ "ram:AssociateResourceShare", "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringNotEquals": { "ram:Principal": "NETWORK_ACCOUNT_ID" }, "StringEquals": { "ram:RequestedResourceType": "ec2:Subnet" } } }
SCP-AMS-031: Impedisci il lancio di istanze con tipi di istanze proibiti
Impedisci il lancio di tipi di EC2 istanze Amazon proibiti.
Nota
Sostituisci instance_type1 e instance_type2 con i tipi di istanza che desideri limitare, ad esempio t2.micro o una stringa jolly come. *.nano
{ "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "ForAnyValue:StringLike": { "ec2:InstanceType": [ "instance_type1", "instance_type2" ] } } }
SCP-AMS-032: Impedisci il lancio di istanze senza IMDSv2
Previeni EC2 le istanze Amazon senza IMDSv2.
[ { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } }, { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "NumericGreaterThan": { "ec2:MetadataHttpPutResponseHopLimit": "3" } } }, { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericLessThan": { "ec2:RoleDelivery": "2.0" } } }, { "Effect": "Deny", "Action": "ec2:ModifyInstanceMetadataOptions", "Resource": "*" } ]
SCP-AMS-033: Impedisci modifiche a un ruolo IAM specifico
Impedisci le modifiche a ruoli IAM specifici.
{ "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:TagRole", "iam:UntagRole", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
SCP-AMS-034: Impedisci la modifica di ruoli IAM specifici AssumeRolePolicy
Impedisci le modifiche ai ruoli IAM AssumeRolePolicy per specifici.
{ "Action": [ "iam:UpdateAssumeRolePolicy" ], "Resource": [ "arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}" ], "Effect": "Deny" }
ConfigRule: tag obbligatori
Verifica se EC2 le istanze hanno i tag personalizzati che hai richiesto. Inoltre InfoSec, questo è utile anche per la gestione dei costi
ConfigRuleName: required-tags Description: >- A Config rule that checks whether EC2 instances have the required tags. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' InputParameters: tag1Key: COST_CENTER tag2Key: APP_ID Source: Owner: AWS SourceIdentifier: REQUIRED_TAGS
ConfigRule: Chiave di accesso ruotata
Verifica che le chiavi di accesso vengano ruotate entro il periodo di tempo specificato. In genere, tale periodo è impostato su 90 giorni in base ai requisiti di conformità tipici.
ConfigRuleName: access-keys-rotated Description: >- A config rule that checks whether the active access keys are rotated within the number of days specified in maxAccessKeyAge. The rule is NON_COMPLIANT if the access keys have not been rotated for more than maxAccessKeyAge number of days. InputParameters: maxAccessKeyAge: '90' Source: Owner: AWS SourceIdentifier: ACCESS_KEYS_ROTATED MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: chiave di accesso root IAM in AMS
Verifica che non sia presente una chiave di accesso root su un account. Per gli account AMS Advanced, si prevede che ciò sia conforme out-of-the-box.
ConfigRuleName: iam-root-access-key-check Description: >- A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist. Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: SSM gestito EC2
Verifica che la tua gestione EC2s sia affidata a SSM Systems Manager.
ConfigRuleName: ec2-instance-managed-by-systems-manager Description: >- A Config rule that checks whether the EC2 instances in the account are managed by AWS Systems Manager. Scope: ComplianceResourceTypes: - 'AWS::EC2::Instance' - 'AWS::SSM::ManagedInstanceInventory' Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
ConfigRule: utente IAM non utilizzato in AMS
Verifica le credenziali utente IAM che non sono state utilizzate per una durata specificata. Analogamente al controllo della rotazione delle chiavi, il valore predefinito è di 90 giorni in base ai requisiti di conformità tipici.
ConfigRuleName: iam-user-unused-credentials-check Description: >- A config rule that checks whether IAM users have passwords or active access keys that have not been used within the specified number of days provided. InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: registrazione del bucket S3
Verifica che la registrazione sia stata abilitata per i bucket S3 nell'account.
ConfigRuleName: s3-bucket-logging-enabled Description: >- A Config rule that checks whether logging is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
ConfigRule: controllo delle versioni del bucket S3
Verifica che il controllo delle versioni e l'eliminazione dell'MFA (opzionale) siano abilitati su tutti i bucket S3
ConfigRuleName: s3-bucket-versioning-enabled Description: >- A Config rule that checks whether versioning is enabled for S3 buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets. Scope: ComplianceResourceTypes: - 'AWS::S3::Bucket' Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
ConfigRule: accesso pubblico a S3
Verifica che le impostazioni di accesso pubblico (Public ACL, Public Policy, Public Buckets) siano limitate in tutto l'account
ConfigRuleName: s3-account-level-public-access-blocks Description: >- A Config rule that checks whether the required public access block settings are configured from account level. The rule is only NON_COMPLIANT when the fields set below do not match the corresponding fields in the configuration item. Scope: ComplianceResourceTypes: - 'AWS::S3::AccountPublicAccessBlock' InputParameters: IgnorePublicAcls: 'True' BlockPublicPolicy: 'True' BlockPublicAcls: 'True' RestrictPublicBuckets: 'True' Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
ConfigRule: risultati non archiviati GuardDuty
Verifica la presenza di eventuali GuardDuty risultati non archiviati più vecchi della durata specificata. La durata predefinita è di 30 giorni per i risultati a bassa risoluzione, 7 giorni per i risultati a media e 1 giorno per i risultati ad alto livello.
ConfigRuleName: guardduty-non-archived-findings Description: >- A Config rule that checks whether the Amazon GuardDuty has findings that are non archived. The rule is NON_COMPLIANT if GuardDuty has non archived low/medium/high severity findings older than the specified number. InputParameters: daysLowSev: '30' daysMediumSev: '7' daysHighSev: '1' Source: Owner: AWS SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: eliminazione CMK
Verifica la presenza di eventuali chiavi master AWS Key Management Service personalizzate (CMKs) di cui è prevista l'eliminazione (ovvero in sospeso). Questo è fondamentale in quanto l'inconsapevolezza sull'eliminazione da CMK può portare all'irrecuperabilità dei dati
ConfigRuleName: kms-cmk-not-scheduled-for-deletion Description: >- A config rule that checks whether customer master keys (CMKs) are not scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is NON_COMPLIANT if CMKs are scheduled for deletion. Source: Owner: AWS SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION MaximumExecutionFrequency: TwentyFour_Hours
ConfigRule: Rotazione CMK
Verifica che la rotazione automatica sia abilitata per ogni CMK dell'account
ConfigRuleName: cmk-backing-key-rotation-enabled Description: >- A config rule that checks that key rotation is enabled for each customer master key (CMK). The rule is COMPLIANT, if the key rotation is enabled for specific key object. The rule is not applicable to CMKs that have imported key material. Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED MaximumExecutionFrequency: TwentyFour_Hours
