기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Security Hub CSPM에서 제어 비활성화
<a name="disable-controls-overview"></a>

조사 결과 노이즈를 줄이려면 환경과 관련이 없는 제어를 비활성화하는 것이 도움이 될 수 있습니다. AWS Security Hub CSPM에서는 모든 보안 표준에서 또는 특정 표준에 대해서만 제어를 비활성화할 수 있습니다.

모든 표준에서 제어를 비활성화하면 다음과 같은 결과가 발생합니다.
+ 해당 제어에 대한 보안 검사가 더 이상 수행되지 않습니다.
+ 해당 제어에 대해 추가 조사 결과가 생성되지 않습니다.
+ 해당 제어에 대한 기존 조사 결과가 더 이상 업데이트되지 않습니다.
+ 기존 조사 결과는 일반적으로 BEB(best-effort basis) 방식으로 3\$15일 이내에 자동으로 보관됩니다.
+ Security Hub CSPM은 제어를 위해 생성한 모든 관련 AWS Config 규칙을 제거합니다.

특정 표준에서만 제어를 비활성화하면 Security Hub CSPM은 해당 표준에서만 제어에 대한 보안 검사 실행을 중지합니다. 또한 각 표준의 [보안 점수 계산](standards-security-score.md)에서 해당 제어가 제거됩니다. 해당 제어가 다른 표준에서 활성화되어 있는 경우 Security Hub CSPM은 해당하는 경우 관련 AWS Config 규칙을 유지하고 다른 표준에서는 해당 제어에 대한 보안 검사를 계속 실행합니다. Security Hub CSPM이 다른 각 표준에 대한 보안 점수를 계산할 때에 해당 제어도 포함하며, 이는 요약 보안 점수에 영향을 미칩니다.

표준을 비활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 비활성화됩니다. 하지만 다른 표준에서는 제어가 계속 활성화될 수 있습니다. 표준을 비활성화하면 Security Hub CSPM은 해당 표준에서 어떤 제어가 비활성화되었는지 추적하지 않습니다. 이후에 표준을 다시 활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 활성화됩니다. 표준 비활성화에 대한 자세한 내용은 [표준 비활성화](disable-standards.md)을 참조하십시오.

제어 비활성화는 영구적인 작업이 아닙니다. 제어를 비활성화한 다음 해당 제어가 포함된 표준을 활성화한다고 가정해 보겠습니다. 그러면 해당 제어가 이 표준에 대해 활성화됩니다. Security Hub CSPM에서 표준을 활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 활성화됩니다. 표준 활성화에 대한 자세한 내용은 [표준 활성화](enable-standards.md) 섹션을 참조하세요.

**Topics**
+ [표준에서 제어 비활성화](disable-controls-across-standards.md)
+ [특정 표준의 제어 비활성화](disable-controls-standard.md)
+ [비활성화할 때 권장되는 제어](controls-to-disable.md)

# 표준에서 제어 비활성화
<a name="disable-controls-across-standards"></a>

조직 전체에서 일관성을 유지하려면 표준 전반에 걸쳐 AWS Security Hub CSPM 제어를 비활성화하는 것이 좋습니다. 특정 표준에서만 제어를 비활성화하면 다른 표준에서 활성화된 경우 해당 제어에 대한 조사 결과를 계속 수신할 수 있습니다.

## 여러 계정 및 리전의 표준 간 비활성화
<a name="disable-controls-all-standards-central-configuration"></a>

여러 AWS 계정 및에서 보안 제어를 비활성화하려면 [중앙 구성을](central-configuration-intro.md) 사용해야 AWS 리전합니다.

중앙 구성을 사용하는 경우, 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 비활성화하는 Security Hub CSPM 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정, OU 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어 한 OU에서 모든 AWS CloudTrail 제어를 비활성화하도록 선택하고 다른 OU에서 모든 IAM 제어를 비활성화하도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 비활성화하는 구성 정책을 만드는 방법에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.

**참고**  
위임된 관리자는 [서비스 관리형 표준을 제외한 모든 표준에서 제어를 관리하는 구성 정책을 생성할 수 있습니다 AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html). 이 표준에 대한 제어는 AWS Control Tower 서비스에서 구성해야 합니다.

일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.

## 단일 계정 및 리전에서 표준 간 비활성화
<a name="disable-controls-all-standards"></a>

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우, 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 비활성화할 수 없습니다. 하지만 단일 계정 및 리전에서는 제어를 비활성화할 수 있습니다.

------
#### [ Security Hub CSPM console ]

**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 비활성화하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **제어**를 선택합니다.

1. 제어 옆에 있는 옵션을 선택합니다.

1. **제어 비활성화**를 선택합니다. 이미 비활성화된 제어에는 이 옵션이 나타나지 않습니다.

1. 제어를 비활성화하는 이유를 선택하고 **비활성화**를 선택하여 확인합니다.

1. 제어를 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

------
#### [ Security Hub CSPM API ]

**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 비활성화하려면**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API를 호출합니다. 보안 제어 ID를 제공합니다.

   **요청 예제:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API를 호출합니다. 제어가 활성화된 모든 표준의 ARN을 입력합니다. 표준 ARN을 가져오려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)를 실행하십시오.

1. `AssociationStatus` 파라미터를 `DISABLED`와(과) 동일하게 설정합니다. 이미 비활성화된 제어에 대해 다음 단계를 수행하면 API가 HTTP 상태 코드 200 응답을 반환합니다.

   **요청 예제:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. 제어를 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

------
#### [ AWS CLI ]

**한 계정 및 리전에서 표준 전반에 걸쳐 제어를 비활성화하려면**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 명령을 실행합니다. 보안 제어 ID를 제공합니다.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 명령을 실행합니다. 제어가 활성화된 모든 표준의 ARN을 입력합니다. 표준 ARN을 얻으려면 `describe-standards` 명령을 실행합니다.

1. `AssociationStatus` 파라미터를 `DISABLED`와(과) 동일하게 설정합니다. 이미 비활성화된 제어에 대해 다음 단계를 수행하면 명령이 HTTP 상태 코드 200 응답을 반환합니다.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. 제어를 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

------

# 특정 표준의 제어 비활성화
<a name="disable-controls-standard"></a>

모든 보안 표준이 아닌 특정 보안 표준에서만 제어를 비활성화할 수 있습니다. 제어가 활성화된 다른 표준에 적용되는 경우 AWS Security Hub CSPM은 제어에 대한 보안 검사를 계속 실행하고 사용자는 제어에 대한 조사 결과를 계속 수신합니다.

제어의 활성화 상태를 제어가 적용되는 모든 활성화된 표준에 맞게 조정하는 것이 좋습니다. 적용되는 모든 표준에서 제어를 비활성화하는 방법에 대한 자세한 내용은 [표준에서 제어 비활성화](disable-controls-across-standards.md) 섹션을 참조하세요.

표준 세부 정보 페이지에서 특정 표준의 제어를 활성화하고 비활성화할 수도 있습니다. 각 AWS 계정 및에서 특정 표준의 제어를 개별적으로 비활성화해야 합니다 AWS 리전. 특정 표준에서 제어를 비활성화하면 현재 계정 및 리전에만 영향을 미칩니다.

원하는 방법을 선택하고 다음 단계에 따라 하나 이상의 특정 표준에서 제어를 비활성화합니다.

------
#### [ Security Hub CSPM console ]

**특정 표준에서 제어를 비활성화하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 탐색 창에서 **보안 표준**을 선택합니다. 관련 표준의 **결과 보기**를 선택합니다.

1. 제어를 선택합니다.

1. **제어 비활성화**를 선택합니다. 이미 비활성화된 제어에는 이 옵션이 나타나지 않습니다.

1. 제어를 비활성화하는 이유를 제공하고 **비활성화**를 선택하여 확인합니다.

------
#### [ Security Hub CSPM API ]

**특정 표준에서 제어를 비활성화하려면**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`을(를) 실행하고 표준 ARN을 입력하여 특정 표준에 사용할 수 있는 제어 목록을 가져옵니다. 표준 ARN을 얻으려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)을(를) 실행하세요. 이 API는 표준별 제어 ID가 아니라 표준에 구애받지 않는 보안 제어 ID를 반환합니다.

   **요청 예제:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`을(를) 실행하고 특정 제어 ID를 입력하여 각 표준에서 제어의 현재 활성화 상태를 반환하세요.

   **요청 예제:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`을(를) 실행합니다. 제어를 비활성화하려는 표준의 ARN을 제공합니다.

1. `AssociationStatus` 파라미터를 `DISABLED`와(과) 동일하게 설정합니다. 이미 비활성화된 제어에 대해 다음 단계를 수행하면 API가 HTTP 상태 코드 200 응답을 반환합니다.

   **요청 예제:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**특정 표준에서 제어를 비활성화하려면**

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` 명령을 실행하고 표준 ARN을 입력하여 특정 표준에 사용할 수 있는 제어 목록을 가져옵니다. 표준 ARN을 얻으려면 `describe-standards`을(를) 실행하세요. 이 명령은 표준별 제어 ID가 아니라 표준에 구애받지 않는 보안 제어 ID를 반환합니다.

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` 명령을 실행하고 특정 제어 ID를 제공하여 각 표준에서 제어의 현재 활성화 상태를 반환합니다.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 명령을 실행합니다. 제어를 비활성화하려는 표준의 ARN을 제공합니다.

1. `AssociationStatus` 파라미터를 `DISABLED`와(과) 동일하게 설정합니다. 이미 활성화된 제어에 대해 다음 단계를 수행하면 명령은 HTTP 상태 코드 200 응답을 반환합니다.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Security Hub CSPM에서 비활성화가 권장되는 제어
<a name="controls-to-disable"></a>

결과 노이즈 및 사용 비용을 줄이려면 일부 AWS Security Hub CSPM 제어를 비활성화하는 것이 좋습니다.

## 글로벌 리소스를 사용하는 제어
<a name="controls-to-disable-global-resources"></a>

일부는 글로벌 리소스를 AWS 서비스 지원하므로 모든에서 리소스에 액세스할 수 있습니다 AWS 리전. 비용을 절감하기 위해 한 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 비활성화 AWS Config할 수 있습니다. 이렇게 한 후에도 Security Hub CSPM은 제어가 활성화된 모든 리전에서 보안 검사를 계속 실행하고 리전별 계정당 검사 횟수에 따라 요금을 부과합니다. 따라서 조사 결과 노이즈를 줄이고 Security Hub CSPM 비용을 절약하려면 글로벌 리소스를 기록하는 리전을 제외한 모든 리전에서 글로벌 리소스와 관련된 다음 제어도 비활성화해야 합니다.

제어에 글로벌 리소스가 포함되어 있지만 한 리전에서만 사용할 수 있는 경우, 해당 리전에서 해당 제어를 비활성화하면 기본 리소스에 대한 조사 결과를 가져올 수 없습니다. 이 경우, 제어를 활성화 상태로 유지하는 것이 좋습니다. 교차 리전 집계를 사용하는 경우, 제어를 사용할 수 있는 리전은 집계 영역 또는 연결된 리전 중 하나여야 합니다. 다음 제어는 글로벌 리소스에 적용되지만 단일 리전에서만 사용할 수 있습니다.
+ **모든 CloudFront 제어** - 미국 동부(버지니아 북부) 리전에서만 사용 가능
+ **GlobalAccelerator.1** – 미국 서부(오리건) 리전에서만 사용 가능
+ **Route53.2:** 미국 동부(버지니아 북부) 리전에서만 사용 가능
+ **WAF.1, WAF.6, WAF.7 및 WAF.8** - 미국 동부(버지니아 북부) 리전에서만 사용 가능

**참고**  
중앙 구성을 사용하는 경우, Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 제어에 대한 조사 결과를 한 리전으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 끌 수 있습니다.  
글로벌 리소스를 평가하는 활성화된 제어가 홈 리전에서 지원되지 않는 경우 Security Hub CSPM은 해당 제어가 지원되는 연결된 리전에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하는 경우, 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다.  
중앙 구성에 대한 자세한 내용은 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.

*주기적* 일정 유형의 제어의 경우, 청구를 방지하려면 Security Hub CSPM에서 이를 비활성화해야 합니다. AWS Config 파라미터를 `includeGlobalResourceTypes`로 설정`false`해도 주기적 Security Hub CSPM 제어에는 영향을 주지 않습니다.

다음 Security Hub CSPM 제어는 글로벌 리소스를 사용합니다.
+ [[Account.1]에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정](account-controls.md#account-1)
+ [[Account.2] AWS Organizations 조직의 일부여야 AWS 계정 합니다.](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요합니다.](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront 배포판에는 WAF가 활성화되어 있어야 합니다.](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront 배포는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다.](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront 배포는 SNI를 사용하여 HTTPS 요청을 처리해야 합니다.](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront 배포는 권장 TLS 보안 정책을 사용해야 합니다](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM 정책은 전체 "\$1" 관리 권한을 허용해서는 안 됩니다.](iam-controls.md#iam-1)
+ [[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.](iam-controls.md#iam-2)
+ [[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.](iam-controls.md#iam-3)
+ [[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.](iam-controls.md#iam-4)
+ [[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-5)
+ [[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.](iam-controls.md#iam-6)
+ [[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.](iam-controls.md#iam-7)
+ [[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.](iam-controls.md#iam-8)
+ [[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-9)
+ [[IAM.10] IAM 사용자의 암호 정책에는 강력한 구성이 있어야 합니다.](iam-controls.md#iam-10)
+ [[IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-11)
+ [[IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-12)
+ [[IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-13)
+ [[IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.](iam-controls.md#iam-14)
+ [[IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.](iam-controls.md#iam-15)
+ [[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.](iam-controls.md#iam-16)
+ [[IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다.](iam-controls.md#iam-17)
+ [[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.](iam-controls.md#iam-19)
+ [[IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.](iam-controls.md#iam-21)
+ [[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.](iam-controls.md#iam-22)
+ [[IAM.24] IAM 역할에 태그를 지정해야 합니다.](iam-controls.md#iam-24)
+ [[IAM.25] IAM 사용자에게 태그를 지정해야 합니다.](iam-controls.md#iam-25)
+ [[IAM.26] IAM에서 관리되는 만료된 SSL/TLS 인증서를 제거해야 합니다.](iam-controls.md#iam-26)
+ [[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.](iam-controls.md#iam-27)
+ [[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.](kms-controls.md#kms-1)
+ [[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.](kms-controls.md#kms-2)
+ [[Route53.2] Route53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.](route53-controls.md#route53-2)
+ [[WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다.](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.](waf-controls.md#waf-8)

## CloudTrail 로깅 제어
<a name="controls-to-disable-cloudtrail-logging"></a>

[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) 제어는 AWS Key Management Service (AWS KMS)를 사용하여 AWS CloudTrail 추적 로그를 암호화합니다. 중앙 집중식 로깅 계정에 이러한 추적을 기록하는 경우 중앙 집중식 로깅이 수행되는 계정 및 AWS 리전 위치에서만이 제어를 활성화해야 합니다.

[중앙 구성](central-configuration-intro.md)을 사용하는 경우, 제어의 활성화 상태를 홈 리전 및 연결된 리전 전체에 걸쳐 조정합니다. 일부 리전에서는 제어를 비활성화하고 다른 리전에서는 활성화할 수 없습니다. 이 경우, CloudTrail.2 제어에서 조사 결과를 억제하도록 하여 조사 결과 노이즈를 줄일 수 있습니다.

## CloudWatch 경보 제어
<a name="controls-to-disable-cloudwatch-alarms"></a>

이상 탐지에 Amazon CloudWatch 경보 대신 Amazon GuardDuty를 사용하려는 경우, CloudWatch 경보에 초점을 맞춘 다음 제어를 비활성화할 수 있습니다.
+ [[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.](cloudwatch-controls.md#cloudwatch-14)