기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub CSPM 제어에 대한 리전별 제한
일부 AWSSecurity Hub CSPM 제어는 전혀 사용할 수 없습니다AWS 리전. 이 페이지에서는 특정 리전에서 사용할 수 없는 제어를 보여줍니다.
현재 로그인한 리전에서 사용할 수 없는 제어는 Security Hub CSPM 콘솔의 제어 목록에 표시되지 않습니다. 집계 영역은 예외입니다. 집계 영역을 설정하고 해당 리전에 로그인한 경우 콘솔에 집계 영역 또는 하나 이상의 연결된 리전에서 사용할 수 있는 제어가 표시됩니다.
AWS 리전
미국 동부(버지니아 북부)
다음 제어는 미국 동부(버지니아 북부) 리전에서 지원되지 않습니다.
미국 동부(오하이오)
다음 제어는 미국 동부(오하이오) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
미국 서부(캘리포니아 북부)
다음 제어는 미국 서부(캘리포니아 북부) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
미국 서부(오리건)
다음 제어는 미국 서부(오리건) 리전에서 지원되지 않습니다.
아프리카(케이프타운)
다음 제어는 아프리카(케이프타운) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
아시아 태평양(홍콩)
다음 제어는 아시아 태평양(홍콩) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
아시아 태평양(하이데라바드)
다음 제어는 아시아 태평양(하이데라바드) 리전에서 지원되지 않습니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
아시아 태평양(자카르타)
다음 제어는 아시아 태평양(자카르타) 리전에서 지원되지 않습니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
아시아 태평양(말레이시아)
다음 제어는 아시아 태평양(말레이시아) 리전에서 지원되지 않습니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
아시아 태평양(멜버른)
다음 제어는 아시아 태평양(멜버른) 리전에서 지원되지 않습니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
아시아 태평양(뭄바이)
다음 제어는 아시아 태평양(뭄바이) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
아시아 태평양(뉴질랜드)
다음 제어는 아시아 태평양(뉴질랜드) 리전에서 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.7] Classic Load Balancer connection draining닝이 활성화되어 있어야 합니다.
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 요구 사항이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
아시아 태평양(오사카)
다음 제어는 아시아 태평양(오사카) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.20] aAWSSite-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 요구 사항이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF웹 ACL과 연결되어야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
아시아 태평양(서울)
다음 제어는 아시아 태평양(서울) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
아시아 태평양(싱가포르)
다음 제어는 아시아 태평양(싱가포르) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
아시아 태평양(시드니)
다음 제어는 아시아 태평양(시드니) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
아시아 태평양(타이베이)
다음 제어는 아시아 태평양(타이베이) 리전에서 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.7] Classic Load Balancer connection draining닝이 활성화되어 있어야 합니다.
-
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 요구 사항이 있는 사전 정의된 보안 정책을 사용해야 합니다.
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.16] Application Load Balancer는 AWS WAF웹 ACL과 연결되어야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
아시아 태평양(태국)
다음 제어는 아시아 태평양(태국) 리전에서 지원되지 않습니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
아시아 태평양(도쿄)
다음 제어는 아시아 태평양(도쿄) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
캐나다(중부)
다음 제어는 캐나다(중부) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
캐나다 서부(캘거리)
다음 제어는 캐나다 서부(캘거리) 리전에서 지원되지 않습니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
중국(베이징)
다음 제어는 중국(베이징) 리전에서 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.20] aAWSSite-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
중국(닝샤)
다음 제어는 중국(닝샤) 리전에서 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.20] aAWSSite-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
유럽(프랑크푸르트)
다음 제어는 유럽(프랑크푸르트) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
유럽(아일랜드)
다음 제어는 유럽(아일랜드) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
유럽(런던)
다음 제어는 유럽(런던) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
유럽(밀라노)
다음 제어는 유럽(밀라노) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
유럽(파리)
다음 제어는 유럽(파리) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
유럽(스페인)
다음 제어는 유럽(스페인) 리전에서 지원되지 않습니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
유럽(스톡홀름)
다음 제어는 유럽(스톡홀름) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
유럽(취리히)
다음 제어는 유럽(취리히) 리전에서 지원되지 않습니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
이스라엘(텔아비브)
다음 제어는 이스라엘(텔아비브) 리전에서 지원되지 않습니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.20] aAWSSite-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는에서 제공하는 인증서를 사용해야 합니다.AWS Certificate Manager
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
멕시코(중부)
다음 제어는 멕시코(중부) 리전에서 지원되지 않습니다.
-
[APIGateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
-
[RDS.40] RDS for SQL Server DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SageMaker.4] SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다.
-
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[ServiceCatalog.1] Service Catalog 포트폴리오는 AWS조직 내에서만 공유해야 합니다.
-
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
-
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
Middle East (Bahrain)
다음 제어는 중동(바레인) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.10] CloudTrail Lake 이벤트 데이터 스토어는 고객 관리형 로 암호화되어야 합니다.AWS KMS keys
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.20] aAWSSite-to-Site VPN 연결을 위한 두 VPN 터널이 모두 가동되어야 합니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.5] FSx for Windows File Server 파일 시스템에는 다중 AZ 배포를 구성해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[NetworkFirewall.10] Network Firewall 방화벽에는 서브넷 변경 방지가 활성화되어 있어야 합니다
-
[RDS.42] RDS for MariaDB DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다
-
[RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.4] Redshift Serverless 네임스페이스는 고객 관리형 로 암호화해야 합니다.AWS KMS keys
-
[RedshiftServerless.5] Redshift Serverless 네임스페이스는 기본 관리자 사용자 이름을 사용해서는 안 됩니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
중동(UAE)
다음 제어는 중동(UAE) 리전에서 지원되지 않습니다.
-
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[CloudFormation.3] CloudFormation 스택에는 종료 방지 기능이 활성화되어 있어야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS
-
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다
-
[ELB.18] Application Load Balancer 및 Network Load Balancer 리스너는 보안 프로토콜을 사용하여 전송 중 데이터를 암호화해야 합니다
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
-
[Opensearch.11] OpenSearch 도메인에는 최소 3개의 전용 프라이머리 노드가 있어야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
남아메리카(상파울루)
다음 제어는 남아메리카(상파울루) 리전에서 지원되지 않습니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
AWSGovCloud(미국 동부)
다음 제어는 AWSGovCloud(미국 동부) 리전에서 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[Connect.2] Amazon Connect 인스턴스에는 CloudWatch 로깅이 활성화되어 있어야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
AWSGovCloud(미국 서부)
다음 제어는 AWSGovCloud(미국 서부) 리전에서 지원되지 않습니다.
-
[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포괄해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹 은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[오토스케일링.9] Amazon EC2 Auto Scaling은 Amazon EC2 시작 템플릿을 사용해야 합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[CloudFront.16] CloudFront 배포는 Lambda 함수 URL 오리진에 대한 오리진 액세스 제어를 사용해야 합니다
-
[CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅 AWS Config요구 사항이 있어야 합니다.
-
[CodeGuruProfiler.1] CodeGuru Profiler 프로파일링 그룹에 태그를 지정해야 합니다
-
[CodeGuruReviewer.1] CodeGuru Reviewer 리포지토리 연결에 태그를 지정해야 합니다
-
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
-
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
-
[Connect.1] Amazon Connect Customer Profiles 객체 유형에 태그를 지정해야 합니다
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
-
[DocumentDB.5] Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.
-
[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.
-
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
-
[EC2.58] VPC는 Systems Manager Incident Manager Contacts용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.60] VPC는 Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다
-
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
-
[EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
-
[ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다.
-
[ElastiCache.2] ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다
-
[ElastiCache.3] ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
-
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
-
[ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[FraudDetector.1] Amazon Fraud Detector 엔터티 유형에 태그를 지정해야 합니다
-
[FSx.1] FSx for OpenZFS 파일 시스템이 백업 및 볼륨에 태그를 복사하도록 구성되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[GuardDuty.12] GuardDuty ECS Runtime Monitoring이 활성화되어 있어야 합니다
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[NetworkFirewall.1] Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다.
-
[NetworkFirewall.4] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[NetworkFirewall.5] 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다.
-
[Opensearch.4] CloudWatch Logs에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다.
-
[Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다.
-
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
-
[RDS.47] RDS for PostgreSQL DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[RedshiftServerless.1] Amazon Redshift Serverless 작업 그룹은 향상된 VPC 라우팅을 사용해야 합니다
-
[RedshiftServerless.2] Redshift Serverless 작업 그룹에 대한 연결은 SSL을 사용하도록 요구해야 합니다
-
[RedshiftServerless.3] Redshift Serverless 작업 그룹은 퍼블릭 액세스를 금지해야 합니다
-
[RedshiftServerless.6] Redshift Serverless 네임스페이스는 로그를 CloudWatch Logs로 내보내야 합니다
-
[SageMaker.3] 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
