AMS Config 규칙 라이브러리 위반에 대한 대응 규칙 예외 생성 AWS Config 비용 절감

Accelerate의 구성 규정 준수

AMS Accelerate를 사용하면 보안 및 운영 무결성에 대한 높은 표준에 맞게 리소스를 구성하고 다음 업계 표준을 준수할 수 있습니다.

인터넷 보안 센터(CIS)
미국 국립표준기술연구소(NIST) 클라우드 보안 프레임워크(CSF)
HIPAA(미국 건강 보험 양도 및 책임에 관한 법)
Payment Card Industry(PCI) 데이터 보안 표준(DSS)

이를 위해 전체 규정 준수 AWS Config 규칙 세트를 계정에 배포합니다. 섹션을 참조하세요AMS Config 규칙 라이브러리. AWS Config 규칙은 리소스에 대해 원하는 구성을 나타내며 AWS 리소스 설정의 구성 변경에 대해 평가됩니다. 모든 구성 변경은 규정 준수를 테스트하기 위해 많은 수의 규칙을 트리거합니다. 예를 들어, Amazon S3 버킷을 생성하고 NIST 표준을 위반하여 공개적으로 읽을 수 있도록 구성한다고 가정해 보겠습니다. ams-nist-cis-s3-bucket-public-read-prohibited 규칙은 위반을 감지하고 구성 보고서에서 S3 버킷에 규정 미준수 레이블을 지정합니다. 이 규칙은 자동 인시던트 문제 해결 범주에 속하므로 즉시 인시던트 보고서를 생성하여 문제를 알립니다. 더 심각한 다른 규칙 위반으로 인해 AMS가 문제를 자동으로 해결할 수 있습니다. Accelerate의 위반에 대한 대응을(를) 참조하세요.

중요

예를 들어 AMS가 문제 해결 범주에 관계없이 위반 사항을 해결하도록 하려면 AMS에 규정 미준수 리소스를 해결하도록 요청하는 서비스 요청을 제출합니다. 서비스 요청에 "AMS 구성 규칙 수정의 일부로 불만이 아닌 리소스 RESOURCE_ARNS_OR_IDs, 계정의 구성 규칙 CONFIG_RULE_NAME을 수정하십시오"와 같은 설명을 포함하고 위반을 수정하는 데 필요한 입력을 추가합니다.

예를 들어 설계상 퍼블릭 액세스가 필요한 특정 S3 버킷에 대해 조치를 취하지 않으려면 예외를 생성할 수 있습니다. 단원을 참조하십시오Accelerate에서 규칙 예외 생성.

AMS Config 규칙 라이브러리

Accelerate는 계정을 보호하기 위해 AMS 구성 규칙 라이브러리를 배포합니다. 이러한 구성 규칙은 로 시작합니다ams-. AWS Config 콘솔, AWS CLI 또는 AWS Config API에서 계정 내 규칙과 해당 규정 준수 상태를 볼 수 있습니다. 사용에 대한 일반적인 내용은 ViewingConfiguration Compliance를 AWS Config참조하세요.

참고

옵트인 AWS 리전및 Gov 클라우드 리전의 경우 리전 제한으로 인해 구성 규칙의 하위 집합만 배포합니다. AMS Accelerate 구성 규칙 테이블에서 식별자와 연결된 링크를 확인하여 리전의 규칙 가용성을 확인합니다.

배포된 AMS Config 규칙은 제거할 수 없습니다.

규칙 테이블

ams_config_rules.zip으로 다운로드합니다.

AMS 구성 규칙
규칙 이름	서비스:	트리거	작업	프레임워크
ams-nist-cis-guardduty-enabled-centralized	GuardDuty	주기적	문제 해결	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 2.2,3.4,8.2.1,
ams-nist-cis-vpc-flow-logs-enabled	VPC	주기적	문제 해결	CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1, HIPAA: 164.308(a)(3)(ii)(A),164.312(b), PCI: 2.2,10.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6;
ams-eks-secrets-encrypted	EKS	주기적	인시던트	CIS: NA, NIST-CSF: NA, HIPAA: NA, PCI: NA,
ams-eks-endpoint-no-public-access	EKS	주기적	인시던트	CIS: NA, NIST-CSF: NA, HIPAA: NA, PCI: NA,
ams-nist-cis-vpc-default-security-group-closed	VPC	구성 변경 사항	인시던트	CIS: CIS.11,CIS.12,CIS.9, NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4, HIPAA: 164.312(e)(1), PCI: 1.2,1.3,2.1,2.2,1.2.1,1.3.1,1.3.2,2.2.2
ams-nist-cis-iam-password-policy	IAM	주기적	인시던트	CIS: NA, NIST-CSF: PR.AC-1,PR.AC-4, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 7.1.2,7.1.3,7.2.2;
ams-nist-cis-iam-root-access-key-check	IAM	주기적	인시던트	CIS: CIS.16,CIS.4; NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3; HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 2,7.1.2,7.1.1.3.1.7.
ams-nist-cis-iam-user-mfa-enabled	IAM	주기적	인시던트	CIS: CIS.16, NIST-CSF: PR.AC-1,PR.AC-4, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 2.2,7.1.2,7.1.3.7.2.2.1
ams-nist-cis-restricted-ssh	보안 그룹	구성 변경 사항	인시던트	CIS: CIS.16; NIST-CSF: PR.AC-1,PR.AC-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 2.2,7.2.1,8.1.4;
ams-nist-cis-restricted-common-ports	보안 그룹	구성 변경 사항	인시던트	CIS: CIS.11,CIS.12,CIS.9; NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI:2,1.3,1.2.
ams-nist-cis-s3-account-level-public-access-blocks	S3	구성 변경 사항	인시던트	CIS: CIS.9,CIS.12,CIS.14, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2;
ams-nist-cis-s3-bucket-public-read-prohibited	S3	구성 변경 사항	인시던트	CIS: CIS.12,CIS.14,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2.2;
ams-nist-cis-s3-bucket-public-write-prohibited	S3	구성 변경 사항	인시던트	CIS: CIS.12,CIS.14,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2.2;
ams-nist-cis-s3-bucket-server-side-encryption-enabled	S3	구성 변경 사항	인시던트	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(c)(2),164.312(e)(2)(ii), PCI: 2.2,3.4,10.5,8.2.1,
ams-nist-cis-securityhub-enabled	Security Hub	주기적	인시던트	CIS: CIS.3,CIS.4,CIS.6,CIS.12,CIS.16,CIS.19, NIST-CSF: PR.DS-5,PR.PT-1, HIPAA: 164.312(b), PCI: NA,
ams-nist-cis-ec2-instance-managed-by-systems-manager	EC2	구성 변경 사항	Report	CIS: CIS.2,CIS.5, NIST-CSF: ID.AM-2,PR.IP-1, HIPAA: 164.308(a)(5)(ii)(B), PCI: 2.4,
ams-nist-cis-cloudtrail-enabled	CloudTrail	주기적	Report	CIS: CIS.16,CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A), 164.308(a)(5)(ii)(C), 164.312(b); PCI: 10.1,10.2.1,10.2.2,10.2.3,10.2.410.2.5,10.2.7,10.2.6,10.3.1,10.3.2,10.3.3,,10.3.4,,10.3.5,10.3.6;
ams-nist-cis-access-keys-rotated	IAM	주기적	Report	CIS: CIS.16, NIST-CSF: PR.AC-1, HIPAA: 164.308(a)(4)(ii)(B), PCI: 2.2,
ams-nist-cis-acm-certificate-expiration-check	Certificate Manager	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.AC-5,PR.PT-4, HIPAA: NA, PCI: 4.1,
ams-nist-cis-alb-http-to-https-redirection-check	ALB	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-2, HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii), PCI: 2.3,4.1,8.2.1
ams-nist-cis-api-gw-cache-enabled-and-encrypted	API Gateway	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,
ams-nist-cis-api-gw-execution-logging-enabled	API Gateway	구성 변경 사항	Report	CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1, HIPAA: 164.312(b), PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.610.5.4
ams-nist-autoscaling-group-elb-healthcheck-required	ELB	구성 변경 사항	Report	CIS: NA, NIST-CSF: PR.PT-1,PR.PT-5, HIPAA: 164.312(b), PCI: 2.2,
ams-nist-cis-cloud-trail-encryption-enabled	CloudTrail	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 2.2,3.4,10.5,
ams-nist-cis-cloud-trail-log-file-validation-enabled	CloudTrail	주기적	Report	CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164.312(c)(1),164.312(c)(2); PCI: 2.2,10.5,11.5,10.5.2,10.5.5;
ams-nist-cis-cloudtrail-s3-dataevents-enabled	CloudTrail	주기적	Report	CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A),164.312(b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.510.3.1,10.3.210.3.3,10.3.4,10.3.5,,10.3.6;
ams-nist-cis-cloudwatch-alarm-action-check	CloudWatch	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: NA, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,
ams-nist-cis-cloudwatch-log-group-encrypted	CloudWatch	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: NA, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,
ams-nist-cis-codebuild-project-envvar-awscred-check	CodeBuild	구성 변경 사항	Report	CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 8.2.1;
ams-nist-cis-codebuild-project-source-repo-url-check	CodeBuild	구성 변경 사항	Report	CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 8.2.1;
ams-nist-cis-db-instance-backup-enabled	RDS	구성 변경 사항	Report	CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: NA
ams-nist-cis-dms-replication-not-public	DMS	주기적	Report	CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6.2.2;
ams-nist-dynamodb-autoscaling-enabled	DynamoDB	주기적	Report	CIS: NA, NIST-CSF: ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(C), PCI: NA
ams-nist-cis-dynamodb-pitr-enabled	DynamoDB	주기적	Report	CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: NA
ams-nist-dynamodb-throughput-limit-check	DynamoDB	주기적	Report	CIS: NA, NIST-CSF: NA, HIPAA: 164.312(b), PCI: NA
ams-nist-ebs-optimized-instance	EBS	구성 변경 사항	Report	CIS: NA, NIST-CSF: NA, HIPAA: 164.308(a)(7)(i), PCI: NA
ams-nist-cis-ebs-snapshot-public-restorable-check	EBS	주기적	Report	CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2;
ams-nist-ec2-instance-detailed-monitoring-enabled	EC2	구성 변경 사항	Report	CIS: NA, NIST-CSF: DE.AE-1,PR.PT-1, HIPAA: 164.312(b), PCI: NA,
ams-nist-cis-ec2-instance-no-public-ip	EC2	구성 변경 사항	Report	CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2;
ams-nist-cis-ec2-managedinstance-association-compliance-status-check	EC2	구성 변경 사항	Report	CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2;
ams-nist-cis-ec2-managedinstance-patch-compliance-status-check	EC2	구성 변경 사항	Report	CIS: CIS.2,CIS.5, NIST-CSF: ID.AM-2,PR.IP-1, HIPAA: 164.308(a)(5)(ii)(B), PCI: 6.2,
ams-nist-cis-ec2-stopped-instance	EC2	주기적	Report	CIS: CIS.2, NIST-CSF: ID.AM-2,PR.IP-1, HIPAA: NA, PCI: NA,
ams-nist-cis-ec2-volume-inuse-check	EC2	구성 변경 사항	Report	CIS: CIS.2, NIST-CSF: PR.IP-1, HIPAA: NA, PCI: NA,
ams-nist-cis-efs-encrypted-check	EFS	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-nist-cis-eip-attached	EC2	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-nist-cis-elasticache-redis-cluster-automatic-backup-check	ElastiCache	주기적	Report	CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: NA
ams-nist-cis-opensearch-encrypted-at-rest	OpenSearch	주기적	Report	CIS: CIS.14,CIS.13, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-nist-cis-opensearch-in-vpc-only	OpenSearch	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-nist-cis-elb-acm-certificate-required	Certificate Manager	구성 변경 사항	Report	CIS: CIS.12,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2;
ams-nist-elb-deletion-protection-enabled	ELB	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-2, HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii), PCI: 4.1,8.2.1
ams-nist-cis-elb-logging-enabled	ELB	구성 변경 사항	Report	CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1, HIPAA: 164.312(b), PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.610.5.4
ams-nist-cis-emr-kerberos-enabled	EMR	주기적	Report	CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1, HIPAA: 164.312(b), PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.610.5.4
ams-nist-cis-emr-master-no-public-ip	EMR	주기적	Report	CIS: CIS.14,CIS.16; NIST-CSF: PR.AC-1,PR.AC-4,PR.AC-6; HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 7.2.1;
ams-nist-cis-encrypted-volumes	EBS	구성 변경 사항	Report	CIS: CIS.12,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2;
ams-nist-cis-guardduty-non-archived-findings	GuardDuty	주기적	Report	CIS: CIS.12,CIS.13,CIS.16,CIS.19,CIS.3,CIS.4,CIS.6,CIS.8; NIST-CSF: DE.AE-2,DE.AE-3,DE.CM-4,DE.DP-5,ID.RA-1,ID.RA-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(5)(ii)(C),164.308(a)(6)(ii),164.312(b); PCI: 6.1,11.4,5.1.2;
ams-nist-iam-group-has-users-check	IAM	구성 변경 사항	Report	CIS: NA, NIST-CSF: PR.AC-4,PR.AC-1, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 7.1.2,7.1.3,7.2.2;
ams-nist-cis-iam-policy-no-statements-with-admin-access	IAM	구성 변경 사항	Report	CIS: CIS.16, NIST-CSF: PR.AC-6,PR.AC-7, HIPAA: 164.308(a)(4)(ii)(B),164.308(a)(5)(ii)(D),164.312(d), PCI: 8.2.3,8.2.4,8.2.5
ams-nist-cis-iam-user-group-membership-check	IAM	구성 변경 사항	Report	CIS: CIS.16,CIS.4, NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(a)(2)(i), PCI: 2.2,7.1.2,7.2.1,8.1.1
ams-nist-cis-iam-user-no-policies-check	IAM	구성 변경 사항	Report	CIS: CIS.16, NIST-CSF: PR.AC-1,PR.AC-7, HIPAA: 164.308(a)(4)(ii)(B),164.312(d), PCI: 8.3,
ams-nist-cis-iam-user-unused-credentials-check	IAM	주기적	Report	CIS: CIS.16, NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 2.7.1.2,7.1.7.2.7.
vpc의 ams-nist-cis-ec2-instances instances-in-vpc	EC2	구성 변경 사항	Report	CIS: CIS.11,CIS.12,CIS.9, NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI:2,1.3,1.2.
ams-nist-cis-internet-gateway-authorized-vpc-only	인터넷 게이트웨이	주기적	Report	CIS: CIS.9,CIS.12, NIST-CSF: NA, HIPAA: NA, PCI: NA,
ams-nist-cis-kms-cmk-not-scheduled-for-deletion	KMS	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: NA, PCI: 3.5,3.6,
ams-nist-lambda-concurrency-check	Lambda	구성 변경 사항	Report	CIS: NA, NIST-CSF: NA, HIPAA: 164.312(b), PCI: NA
ams-nist-lambda-dlq-check	Lambda	구성 변경 사항	Report	CIS: NA, NIST-CSF: NA, HIPAA: 164.312(b), PCI: NA
ams-nist-cis-lambda-function-public-access-prohibited	Lambda	구성 변경 사항	Report	CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,2.2;
ams-nist-cis-lambda-inside-vpc	Lambda	구성 변경 사항	Report	CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,2.2;
ams-nist-cis-mfa-enabled-for-iam-console-access	IAM	주기적	Report	CIS: CIS.16, NIST-CSF: PR.AC-7, HIPAA: 164.312(d), PCI: 2.2,8.3,
ams-nist-cis-multi-region-cloudtrail-enabled	CloudTrail	주기적	Report	CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1, HIPAA: 164.308(a)(3)(ii)(A),164.312(b), PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.410.2.5,10.2.6,10.2.7,10.3.1,,10.3.2,10.3.3,10.3.4,10.3.5;10.3.6
ams-nist-rds-enhanced-monitoring-enabled	RDS	구성 변경 사항	Report	CIS: NA, NIST-CSF: PR.PT-1, HIPAA: 164.312(b), PCI: NA,
ams-nist-cis-rds-instance-public-access-check	RDS	구성 변경 사항	Report	CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2;
ams-nist-rds-multi-az-support	RDS	구성 변경 사항	Report	CIS: NA, NIST-CSF: ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(C), PCI: NA,
ams-nist-cis-rds-snapshots-public-prohibited	RDS	구성 변경 사항	Report	CIS: CIS.12,CIS.14,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2;
ams-nist-cis-rds-storage-encrypted	RDS	구성 변경 사항	Report	CIS: CIS.13,CIS.5,CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1; HIPAA: 164.312(a)(2)(iv), 164.312(b), 164.312(e)(2)(ii); PCI: 3.4,10.1,10.2.1,10.2.2,10.2.3,10.2.410.2.5,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,,,,,10.3.6,,,,8.2.1;
ams-nist-cis-redshift-cluster-configuration-check	RedShift	구성 변경 사항	Report	CIS: CIS.6,CIS.13,CIS.5, NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1, HIPAA: 164.312(a)(2)(iv), 164.312(b), 164.312(e)(2)(ii), PCI: 3.4,8.2.1,10.1,10.2.1,10.2.2,10.2.310.2.4,10.2.5,10.3.1,,10.3.2,10.3.3,,,10.3.4,,,,10.3.5,,,10.3.6;
ams-nist-cis-redshift-cluster-public-access-check	RedShift	구성 변경 사항	Report	CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2;
ams-nist-cis-redshift-require-tls-ssl	RedShift	주기적	Report	CIS: CIS.13,CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii); PCI: 2.3,4.1;
ams-nist-cis-root-account-hardware-mfa-enabled	IAM	주기적	Report	CIS: CIS.16,CIS.4, NIST-CSF: PR.AC-7, HIPAA: 164.312(d), PCI: 2.2,8.3,
ams-nist-cis-root-account-mfa-enabled	IAM	주기적	Report	CIS: CIS.16,CIS.4, NIST-CSF: PR.AC-7, HIPAA: 164.312(d), PCI: 2.2,8.3,
ams-nist-cis-s3-bucket-default-lock-enabled	S3	구성 변경 사항	Report	CIS: CIS.14,CIS.13, NIST-CSF: ID.BE-5,PR.PT-5,RC.RP-1, HIPAA: NA, PCI: NA,
ams-nist-cis-s3-bucket-logging-enabled	S3	구성 변경 사항	Report	CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A), 164.312(b); PCI: 2.2,10.1,10.2.1,,10.2.2,10.2.310.2.4,10.2.510.2.7,10.3.110.3.2,10.3.3,10.3.4,,,10.3.5,10.3.6;
ams-nist-cis-s3-bucket-replication-enabled	S3	구성 변경 사항	Report	CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: 2.2,10.5.3
ams-nist-cis-s3-bucket-ssl-requests-only	S3	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-2, HIPAA: 164.312(a)(2)(iv),164.312(c)(2),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii), PCI: 2.2,4.1,8.2.1;
ams-nist-cis-s3-bucket-versioning-enabled	S3	주기적	Report	CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.DS-6,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B),164.312(c)(1),164.312(c)(2), PCI: 10.5.3
ams-nist-cis-sagemaker-endpoint-configuration-kms-key-configured	SageMaker	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-nist-cis-sagemaker-notebook-instance-kms-key-configured	SageMaker	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-nist-cis-sagemaker-notebook-no-direct-internet-access	SageMaker	주기적	Report	CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2;
ams-nist-cis-secretsmanager-rotation-enabled-check	Secrets Manager	구성 변경 사항	Report	CIS: CIS.16, NIST-CSF: PR.AC-1, HIPAA: 164.308(a)(4)(ii)(B), PCI: NA,
ams-nist-cis-secretsmanager-scheduled-rotation-success-check	Secrets Manager	구성 변경 사항	Report	CIS: CIS.16, NIST-CSF: PR.AC-1, HIPAA: 164.308(a)(4)(ii)(B), PCI: NA,
ams-nist-cis-sns-encrypted-kms	SNS	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 8.2.1,
ams-nist-cis-vpc-sg-open-only-to-authorized-ports	VPC	구성 변경 사항	Report	CIS: CIS.11,CIS.12,CIS.9, NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4, HIPAA: 164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,2.2.2
ams-nist-vpc-vpn-2-터널-up	VPC	구성 변경 사항	Report	CIS: NA, NIST-CSF: ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i), PCI: NA,
ams-cis-ec2-ebs-encryption-by-default	EC2	주기적	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 2.2,3.4,8.2.1,
ams-cis-rds-snapshot-encrypted	RDS	구성 변경 사항	Report	CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1,
ams-cis-redshift-cluster-maintenancesettings-check	RedShift	구성 변경 사항	Report	CIS: CIS.5; NIST-CSF: PR.DS-4,PR.IP-1,PR.IP-4; HIPAA: 164.308(a)(5)(ii)(A),164.308(a)(7)(ii)(A); PCI: 6.2;

Accelerate의 위반에 대한 대응

모든 Config 규칙 위반은 구성 보고서에 표시됩니다. 이는 범용 응답입니다. 규칙의 수정 범주(심각도)에 따라 AMS는 다음 표에 요약된 추가 작업을 수행할 수 있습니다. 특정 규칙에 대해 작업 코드를 사용자 지정하는 방법에 대한 자세한 내용은 섹션을 참조하세요사용자 지정 조사 결과 응답.

문제 해결 작업

작업 코드	AMS 작업
Report	Config 보고서에 추가
Incident	Config 보고서에 추가 Accelerate의 자동 인시던트 보고서
Remediate	Config 보고서에 추가 Accelerate의 자동 인시던트 보고서 Accelerate의 자동 문제 해결

추가 도움말 요청

참고

AMS는 문제 해결 범주에 관계없이 모든 위반을 해결할 수 있습니다. 도움을 요청하려면 서비스 요청을 제출하고 "AMS 구성 규칙 수정의 일부로 불만이 아닌 리소스 RESOURCE_ARNS_OR_IDs 리소스 ARNs/IDs>, 계정의 구성 규칙 CONFIG_RULE_NAME"과 같은 설명으로 AMS가 수정할 리소스를 표시하고 위반을 수정하는 데 필요한 입력을 추가합니다.

AMS Accelerate에는 규정 미준수 리소스를 해결하는 데 도움이 되는 AWS Systems Manager 자동화 문서 및 실행서 라이브러리가 있습니다.

Config 보고서에 추가

AMS는 계정에 있는 모든 규칙 및 리소스의 규정 준수 상태를 추적하는 Config 보고서를 생성합니다. CSDM에서 보고서를 요청할 수 있습니다. Config 콘솔, AWS CLI 또는 AWS AWS Config API에서 규정 준수 상태를 검토할 수도 있습니다. Config 보고서에는 다음이 포함됩니다.

잠재적 위협 및 잘못된 구성을 발견하기 위한 환경의 상위 규정 미준수 리소스
시간 경과에 따른 리소스 및 구성 규칙 준수
규정 미준수 리소스를 수정하기 위한 구성 규칙 설명, 규칙의 심각도 및 권장 문제 해결 단계

리소스가 규정 미준수 상태가 되면 Config 보고서에서 리소스 상태(및 규칙 상태)가 규정 미준수가 됩니다. 규칙이 Config 보고서 전용 문제 해결 범주에 속하는 경우 기본적으로 AMS는 추가 작업을 수행하지 않습니다. 언제든지 서비스 요청을 생성하여 AMS에 추가 도움말 또는 수정을 요청할 수 있습니다.

자세한 내용은 AWS Config Reporting을 참조하세요.

Accelerate의 자동 인시던트 보고서

중간 정도 심각한 규칙 위반의 경우 AMS는 자동으로 인시던트 보고서를 생성하여 리소스가 규정 미준수 상태가 되었음을 알리고 어떤 작업을 수행할지 묻습니다. 인시던트에 대응할 때 다음과 같은 옵션이 있습니다.

AMS가 인시던트에 나열된 규정 미준수 리소스를 수정하도록 요청합니다. 그런 다음 규정 미준수 리소스를 수정하려고 시도하고 기본 인시던트가 해결되면 사용자에게 알립니다.
콘솔에서 또는 자동 배포 시스템(예: CI/CD 파이프라인 템플릿 업데이트)을 통해 규정 미준수 항목을 수동으로 해결한 다음 인시던트를 해결할 수 있습니다. 규정 미준수 리소스는 규칙 일정에 따라 재평가되며, 리소스가 규정 미준수로 평가되면 새 인시던트 보고서가 생성됩니다.
규정 미준수 리소스를 해결하지 않고 인시던트만 해결하도록 선택할 수 있습니다. 나중에 리소스 구성을 업데이트하면 AWS Config가 재평가를 트리거하고 해당 리소스의 규정 미준수를 평가하라는 알림을 다시 받게 됩니다.

Accelerate의 자동 문제 해결

가장 중요한 규칙은 자동 문제 해결 범주에 속합니다. 이러한 규칙을 준수하지 않으면 계정의 보안 및 가용성에 큰 영향을 미칠 수 있습니다. 리소스가 다음 규칙 중 하나를 위반하는 경우:

AMS는 인시던트 보고서를 자동으로 알려줍니다.
AMS는 자동화된 SSM 문서를 사용하여 자동 문제 해결을 시작합니다.
AMS는 자동 문제 해결의 성공 또는 실패로 인시던트 보고서를 업데이트합니다.
자동 수정에 실패하면 AMS 엔지니어가 문제를 조사합니다.

Accelerate에서 규칙 예외 생성

AWS Config 규칙 리소스 예외 기능을 사용하면 특정 규칙에 대한 특정 규정 미준수 리소스의 보고를 억제할 수 있습니다.

참고

제외된 리소스는 AWS 여전히 Config Service 콘솔에 규정 미준수로 표시됩니다. 제외된 리소스는 Config Reports(resource_exception:True)에 특수 플래그와 함께 표시됩니다. CSDMs 보고서를 생성할 때 해당 열에 따라 해당 리소스를 필터링할 수 있습니다.

규정을 준수하지 않는 것으로 알려진 리소스가 있는 경우 해당 Config 보고서에서 특정 구성 규칙에 대한 특정 리소스를 제거할 수 있습니다. 방법:

보고서에서 제외할 구성 규칙 및 리소스 목록과 함께 계정에 대해 Accelerate에 서비스 요청을 제출합니다. 명시적인 비즈니스 정당화를 제공해야 합니다(예: resource_name_1 및 resource_name_2가 백업되지 않도록 보고할 필요 없음). Accelerate 서비스 요청 제출에 대한 도움말은 섹션을 참조하세요Accelerate에서 서비스 요청 생성.

요청에 다음 입력을 붙여 넣은 다음(모든 리소스에 대해 그림과 같이 모든 필수 필드가 포함된 별도의 블록 추가) 제출합니다.


[
    {
        "resource_name": "resource_name_1",
        "config_rule_name": "config_rule_name_1",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    },
    {
        "resource_name": "resource_name_2",
        "config_rule_name": "config_rule_name_2",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    }
]

Accelerate에서 AWS Config 비용 절감

옵션을 사용하여 AWS::EC2::Instance 리소스 유형을 주기적으로 기록하여 AWS Config 비용을 줄일 수 있습니다. 주기적 레코딩은 24시간마다 한 번씩 리소스의 최신 구성 변경 사항을 캡처하여 전달되는 변경 횟수를 줄입니다. 활성화된 경우는 24시간이 끝날 때 리소스의 최신 구성 AWS Config 만 기록합니다. 이를 통해 지속적인 모니터링이 필요하지 않은 특정 운영 계획, 규정 준수 및 감사 사용 사례에 맞게 구성 데이터를 조정할 수 있습니다. 이 변경은 임시 아키텍처에 의존하는 애플리케이션이 있는 경우에만 권장됩니다. 즉, 인스턴스 수를 지속적으로 늘리거나 줄입니다.

AWS::EC2::Instance 리소스 유형에 대한 정기 기록을 옵트인하려면 AMS 전송 팀에 문의하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보안 이벤트 로깅 및 모니터링

사용자 지정 조사 결과 응답